Не работает iptables + fail2ban на Centos 7
Не работает iptables + fail2ban на Centos 7
На VPS стоит Centos 7 с последним релизом VestaCP. Виртуализация KVM. Складывается впечатление, что firewall не работает.
Панель устанавливалась следующим образом:
В информации о сервере картина следующая -
Сами сервисы iptables и fail2ban стартую без проблем.
# fail2ban-client status
Собственно вопрос - работает ли iptables и fail2ban. А если нет, то что делать?
Панель устанавливалась следующим образом:
Code: Select all
bash vst-install.sh --nginx yes --apache yes --phpfpm no --vsftpd yes --proftpd no --exim yes --dovecot no --spamassassin no --clamav no --named no --iptables yes --fail2ban yes --mysql yes --postgresql no --remi yes --quota noВ информации о сервере картина следующая -
Сами сервисы iptables и fail2ban стартую без проблем.
# fail2ban-client status
# iptables --listStatus
|- Number of jail: 0
`- Jail list:
На вкладке фаервола есть дефолтные правила, на вкладке fail2ban - пусто.[root@54161 ~]
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere multiport dports http,https
ACCEPT tcp -- anywhere anywhere multiport dports ftp,entextxid:12100
ACCEPT tcp -- anywhere anywhere multiport dports smtp,urd,submission,ms-v-worlds
ACCEPT tcp -- anywhere anywhere tcp dpt:us-srv
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- 54161.simplecloud.club anywhere
ACCEPT all -- localhost anywhere
ACCEPT tcp -- anywhere anywhere tcp spt:ftp-data
ACCEPT tcp -- anywhere anywhere tcp spt:ftp
ACCEPT tcp -- anywhere anywhere tcp spt:ssh
ACCEPT tcp -- anywhere anywhere tcp spt:smtp
ACCEPT udp -- anywhere anywhere udp spt:domain
ACCEPT tcp -- anywhere anywhere tcp spt:http
ACCEPT tcp -- anywhere anywhere tcp spt:https
ACCEPT tcp -- anywhere anywhere tcp spt:pop3
ACCEPT udp -- anywhere anywhere udp spt:ntp
ACCEPT tcp -- anywhere anywhere tcp spt:imap
ACCEPT tcp -- anywhere anywhere tcp spt:mysql
ACCEPT tcp -- anywhere anywhere tcp spt:postgres
ACCEPT tcp -- anywhere anywhere tcp spt:webcache
ACCEPT tcp -- anywhere anywhere tcp spt:8433
ACCEPT tcp -- anywhere anywhere tcp spt:us-srv
ACCEPT tcp -- anywhere anywhere tcp spts:entextxid:12100
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain vesta (0 references)
target prot opt source destination
Собственно вопрос - работает ли iptables и fail2ban. А если нет, то что делать?
Last edited by abst on Tue Jun 14, 2016 4:20 pm, edited 1 time in total.
Re: Iptables + fail2ban - подозрительное поведение на Centos 7
Удалось победить, нужно поправить файл jail.local. При установке панельки без dovecot jail.local должен быть следующего вида:
Обратите внимание, что также нужно исправить путь к логу mariadb. На решение натолкнул этот пост.
В панельке после фикса начинают отображаться заблокированные IP по адресу /list/firewall/banlist/
Code: Select all
[ssh-iptables]
enabled = true
filter = sshd
action = vesta[name=SSH]
logpath = /var/log/secure
maxretry = 5
[vsftpd-iptables]
enabled = true
filter = vsftpd
action = vesta[name=FTP]
logpath = /var/log/vsftpd.log
maxretry = 5
[exim-iptables]
enabled = true
filter = exim
action = vesta[name=MAIL]
logpath = /var/log/exim/main.log
[dovecot-iptables]
enabled = false
filter = dovecot
action = vesta[name=MAIL]
logpath = /var/log/dovecot.log
[mysqld-iptables]
enabled = true
filter = mysqld-auth
action = vesta[name=DB]
logpath = /var/log/mariadb/mariadb.log
maxretry = 5
[vesta-iptables]
enabled = true
filter = vesta
action = vesta[name=VESTA]
logpath = /var/log/vesta/auth.log
maxretry = 5В панельке после фикса начинают отображаться заблокированные IP по адресу /list/firewall/banlist/
-
clevernever
- Posts: 1
- Joined: Sun Aug 28, 2016 9:09 am
Re: Не работает iptables + fail2ban на Centos 7
Друзья вчера долбался с запуском fail2ban анализировал, пробовал и эксперементировал, в итоге получилось его запустить на centos 7.2 все самое последнее, назад fail2ban не откатывал как рекомендуют. Что сделал и почему не запускалось.
1. Не хватает 3-х файлов, о них писали на форуме в ветках, самое главное нет файла jail.local
2. Не запускалось т.к. в настройках jail.local были указаны пути на несуществующие файлы логов нужно лишь проверить внимательно наличие этих файлов и если их нет то создать эти файлы руками по путям которые прописаны в jail.local
После этого все запустилось, вроде полет нормальный ничего не останавливалось. Проверил бан по ssh - работает забанил сам себя, только вот с отображением пока не разобрался где он логирует что меня забанил и не отображает в панели как говорят многие. Но есть факт все запустилось и работает. Дальше уже легче разобраться.
Почему он не создавал файлы логов если этих файлов не было физически не знаю, создал руками пустой файл все заработало и начало в него писать, может кому поможет.
1. Не хватает 3-х файлов, о них писали на форуме в ветках, самое главное нет файла jail.local
2. Не запускалось т.к. в настройках jail.local были указаны пути на несуществующие файлы логов нужно лишь проверить внимательно наличие этих файлов и если их нет то создать эти файлы руками по путям которые прописаны в jail.local
После этого все запустилось, вроде полет нормальный ничего не останавливалось. Проверил бан по ssh - работает забанил сам себя, только вот с отображением пока не разобрался где он логирует что меня забанил и не отображает в панели как говорят многие. Но есть факт все запустилось и работает. Дальше уже легче разобраться.
Почему он не создавал файлы логов если этих файлов не было физически не знаю, создал руками пустой файл все заработало и начало в него писать, может кому поможет.
Re: Не работает iptables + fail2ban на Centos 7
Товарищ напиши еще остальные два файла которые нужны, на этом форуме что то не смог найти нужную тему и в баг репортах ничего не пишут.