Fail2Ban - odblokowanie adresu IP

  • Data: 2015

Zdejmowanie banów możemy zrealizować na dwa sposoby. Pierwszy to po prostu restart procesu fail2ban, wtedy wszystkie blokady zostaną usunięte. Od wersji 0.8.6 po zrestartowaniu programu w dalszym ciągu utrzymywane są blokady. Drugi sposób zdejmuje bana z konkretnego adresu IP za pomocą iptables, oczywiście, o ile wybraliśmy sposób blokowania za pomocą iptables.

  • W pierwszym kroku wyświetlam zawartość wszystkich reguł poleceniem: iptables -nL
  • Chain INPUT (policy DROP)
    target     prot opt source               destination
    fail2ban-default  all  --  0.0.0.0/0     0.0.0.0/0
    DROP       all  --  223.25.195.163       0.0.0.0/0
    DROP       all  --  202.72.179.219       0.0.0.0/0
    ...
    ...
    ...
    Chain fail2ban-default (1 references)
    target     prot opt source               destination
    DROP       all  --  58.83.157.6          0.0.0.0/0
    DROP       all  --  94.56.48.130         0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain fail2ban-postfix (1 references)
    target     prot opt source               destination
    DROP       all  --  14.63.214.64         0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain fail2ban-sasl (1 references)
    target     prot opt source               destination
    DROP       all  --  221.139.14.120       0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    
    Chain fail2ban-ssh (1 references)
    target     prot opt source               destination
    DROP       all  --  87.106.227.246       0.0.0.0/0
    DROP       all  --  217.126.193.74       0.0.0.0/0
    DROP       all  --  220.164.144.135      0.0.0.0/0
    DROP       all  --  67.137.122.86        0.0.0.0/0
    DROP       all  --  50.116.61.79         0.0.0.0/0
    DROP       all  --  121.196.45.14         0.0.0.0/0
    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    
  • Nas interesują łańcuchy fail2ban-<nazwa_usługi>, ponieważ przy odblokowywaniu adresu IP będzie potrzebna nam jego nazwa. Przykładowo, chcąc odbanować ssh dla adresu IP: 220.164.144.135 jako root (ubuntu sudo) wydajemy polecenie:
    iptables -D fail2ban-ssh -s 220.164.144.135 -j DROP. Analogicznie odblokowanie dla serwera poczty adresu IP: 14.63.214.64 będzie wyglądało następująco: iptables -D fail2ban-postfix -s 14.63.214.64 -j DROP.
  • W celu uniknięcia pomyłki w czasie przepisywania adresu IP można ponumerować zablokowane wpisy wydając polecenie: iptables -nL fail2ban-ssh --line-numbers.
  • Chain fail2ban-ssh (1 references)
    num  target     prot opt source               destination
    1    DROP       all  --  87.106.227.246       0.0.0.0/0
    2    DROP       all  --  217.126.193.74       0.0.0.0/0
    3    DROP       all  --  220.164.144.135      0.0.0.0/0
    4    DROP       all  --  67.137.122.86        0.0.0.0/0
    5    DROP       all  --  50.116.61.79         0.0.0.0/0
    6    DROP       all  --  121.196.45.14        0.0.0.0/0
    7    RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    
  • Mając takie wylistowanie bazujemy na nazwie łańcuchów i numerze: iptables -D fail2ban-ssh 4. Tym sposobem usunęliśmy blokadę na usługę ssh dla IP: 67.137.122.86
Powrót »