Страница 1 из 1

fail2ban ignoreip не срабатывает

СообщениеДобавлено: 05 июл 2019, 13:42
biohzd
Здравствуйте, бьюсь который день. Появилась такая проблема - fail2ban постоянно банит адрес sip провайдера. В jail.conf адрес есть в ignoreip, но он продолжает банить его. Пробовал выставлять большее количество попыток, после этого стал попадать еще и в recidive. Если раньше отправлял в бан себя примерно раз в 2-3 часа, сейчас же это происходит примерно раз в 30 минут. Перелопатил кучу информации в интернетах, кучу зарубежных форумов, нигде не могу найти подобной проблемы. Пытался найти подобные темы здесь и тоже мимо. Сталкивался кто с таким?

Re: fail2ban ignoreip не срабатывает

СообщениеДобавлено: 05 июл 2019, 16:39
zzuz
Чем подтвердите ваши слова ?

Re: fail2ban ignoreip не срабатывает

СообщениеДобавлено: 08 июл 2019, 13:22
biohzd
нужно подтвердить каждое слово? или нужно разъяснение отдельных положений?

Re: fail2ban ignoreip не срабатывает

СообщениеДобавлено: 08 июл 2019, 14:53
ded
Достаточно логов, куска конфига, выдержки из tcpdump. Иначе это просто "Помогите! Мне очень плохо!"

Так не бывает, что у всех параметр ignoreip работает, а у вас - нет. И это точно не проблема Астериск.
https://www.linode.com/docs/security/us ... -security/
Whitelist IPPermalink

To ignore specific IPs, add them to the ignoreip line. By default, this command will not ban the localhost. If you work from a single IP address often, it may be beneficial to add it to the ignore list:

/etc/fail2ban/jail.local

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1/8 123.45.67.89

If you wish to whitelist IPs only for certain jails, this can be done with the fail2ban-client command. Replace JAIL with the name of your jail, and 123.45.67.89 with the IP you wish to whitelist.

fail2ban-client set JAIL addignoreip 123.45.67.89

Re: fail2ban ignoreip не срабатывает

СообщениеДобавлено: 08 июл 2019, 16:25
biohzd
фух. решение оказалось довольно простым.
после прописывания ignoreip где только возможно, должного эффекта не было. адреса потенциальных гзулиганов отправляются в бан исправно и по ssh и по sip. Тестировал сам - неправильные попытки ввода и все, бан. адрес сип-провайдера добавлен и в смартхосты, там его вижу через iptables. во всех jail тоже адрес есть в ignoreip. Ломал голову продолжительное время. По итогу решилось тем, что через веб интерфейс во вкладке admin-system admin-intrusion detection вписал адрес и теперь в бан не улетает.
Надеюсь,что кому-нибудь может помочь, потому что такое решение нашлось спустя оооочень долгое время поисков