Onderwerp: Banned IP's worden in Fail2Ban weer Unbanned bij herstart server

Werk al een tijdje met Fail2Ban i.c.m. Plesk 12.
Programma staat zo ingesteld dat een IP-adres na 5 keer onjuist getracht te hebben ingelogd, voor bijna 3 maanden niet meer kan inloggen. Ben daar zeer tevreden mee. Werkt op alle toegangsniveaus.

Afgelopen weekeinde merkte ik dat er wat problemen waren in de mailverzending (aparte tread) en ben gaan snuffelen in de logfiles van de server. De normale logfiles van Fail2Ban geven keurig aan wanneer en welk IP-adres is gebanned en vanuit welke functie.

Heb gisteren een herstart gedaan van de server en zag in de logfiles van Fail2Ban dat hij veel IP-adressen na de herstart geunbanned heeft. Daarna stelt Fail2Ban gewoon zijn Jailfunctie weer volledig in en werkt het systeem weer als normaal.

Vraag is waarom die IP-adressen geubanned worden?

Oorspronkelijk geplaatst door casperb71

Werk al een tijdje met Fail2Ban i.c.m. Plesk 12.
Programma staat zo ingesteld dat een IP-adres na 5 keer onjuist getracht te hebben ingelogd, voor bijna 3 maanden niet meer kan inloggen. Ben daar zeer tevreden mee. Werkt op alle toegangsniveaus.

Afgelopen weekeinde merkte ik dat er wat problemen waren in de mailverzending (aparte tread) en ben gaan snuffelen in de logfiles van de server. De normale logfiles van Fail2Ban geven keurig aan wanneer en welk IP-adres is gebanned en vanuit welke functie.

Heb gisteren een herstart gedaan van de server en zag in de logfiles van Fail2Ban dat hij veel IP-adressen na de herstart geunbanned heeft. Daarna stelt Fail2Ban gewoon zijn Jailfunctie weer volledig in en werkt het systeem weer als normaal.

Vraag is waarom die IP-adressen geubanned worden?

Omdat Fail2Ban ze rechtstreekt met iptables blokkert en niet in een opstartscript iod.

Hier vind je de uitleg:
http://zach.seifts.us/posts/2013/07/...ans-persistent

Oorspronkelijk geplaatst door CharlieRoot

Omdat Fail2Ban ze rechtstreekt met iptables blokkert en niet in een opstartscript iod.

Dank en dat snap ik, dat ze direct worden geblokkeerd maar waarom die unbanned actie dan?

Oorspronkelijk geplaatst door casperb71

Dank en dat snap ik, dat ze direct worden geblokkeerd maar waarom die unbanned actie dan?

Omdat je de server reboot en dan al je iptables geflushed worden, Sterker nog, als je Fail2Ban restart dan worden de IP's al geflushed.
. Als jij wilt dat IP's permanent geblocked worden dan zou je de IP's die Fail2Ban blocked moeten bijhouden en via een andere manier in je 'permanente' firewall krijgen (bijv script tijdens boot, of iets wat in je distro zit).

Oorspronkelijk geplaatst door Paulewk

Omdat je de server reboot en dan al je iptables geflushed worden, Sterker nog, als je Fail2Ban restart dan worden de IP's al geflushed.
. Als jij wilt dat IP's permanent geblocked worden dan zou je de IP's die Fail2Ban blocked moeten bijhouden en via een andere manier in je 'permanente' firewall krijgen (bijv script tijdens boot, of iets wat in je distro zit).

Helder maar dat maakt eigenlijk niets uit. Als men weer 5 keer probeert in te loggen, staan ze weer op de lijst.

In de link van CharlieRoot vind je feitelijk een howto om je fail2ban rules permanent te maken. Ziet er niet ingewikkeld uit.