1. घर
  2. सवाल और जवाब
  3. कमांड लाइन द्वारा मैन्युअल रूप से Fail2Ban के साथ आईपी को कैसे प्रतिबंधित करें?

कमांड लाइन द्वारा मैन्युअल रूप से Fail2Ban के साथ आईपी को कैसे प्रतिबंधित करें?

2015-03-12 3 views

उत्तर

2

आप उसे मैन्युअल रूप से फ़ायरवॉल में अपना आईपी जोड़ने पर प्रतिबंध लगाते हैं। आप UFW का उपयोग कर रहे हैं, तो आप अपने आदेश पंक्ति में कुछ इस तरह लिखना:

ufw insert 1 deny from <ip> to any

लेकिन आपको लगता है कि ऐसा करने के लिए मैन्युअल रूप से नहीं करना चाहते हैं - fail2ban के प्रयोजन के लिए स्वचालित रूप से किसी को प्रतिबंध लगाने के लिए है। अपने UFW नियमों को स्वचालित रूप से अपडेट करने के लिए Fail2Ban को कॉन्फ़िगर करने के लिए this ट्यूटोरियल का उपयोग करें।

[Definition] 
actionstart = 
actionstop = 
actioncheck = 
actionban = ufw insert 1 deny from <ip> to any 
actionunban = ufw delete deny from <ip> to any

इस बार की एक पूर्वनिर्धारित राशि के लिए पूरी तरह से आईपी पर प्रतिबंध लगाने जाएगा: importan हिस्सा अपने jail.conf को banaction = ufw-SOMETHING जोड़ने के लिए, और फिर निम्न सामग्री के साथ /etc/fail2ban/action.d/ फ़ोल्डर में ufw-SOMETHING.conf पैदा करते हैं। अगर आप उसे अगले रीबूट तक प्रतिबंधित करना चाहते हैं, तो actionunban कमांड को छोड़ दें।

स्रोत

2015-03-12 19:20:02 alesc

+0

मैंने Fail2Ban के लिए पूछा, क्षमा करें ;-) यूएफडब्ल्यू और आईपीटीबल्स के बीच अंतर क्या हैं? इनमे से कौन बेहतर है? – udgru

+0

यह Fail2Ban के लिए है - कम से कम पोस्ट के दूसरे भाग में। विफल 2Ban हमलावर को अपने आप पर प्रतिबंध नहीं लगा सकता है। आईपी ​​को सफलतापूर्वक प्रतिबंधित करने के लिए इसे फ़ायरवॉल नियम ट्रिगर करना होगा। क्या आपने दिए गए लिंक पर ट्यूटोरियल की जांच की है? और iptables बनाम ufw के बारे में: यूएफडब्ल्यू iptables के शीर्ष पर चलाता है। तो दोनों मामलों में आप iptables का उपयोग कर रहे हैं, यूएफडब्ल्यू सिर्फ आपके फ़ायरवॉल सेटअप (नियम) को सरल बनाता है। – alesc

+2

कहता है: "फ़ाइल 2 बैन .. कमांड लाइन द्वारा 'नहीं:' फ़िल्टर फ़ाइल के माध्यम से 'ufw फ़ायरवॉल' के साथ। Fail2ban-client अन्य उत्तरों के अनुसार आईपी द्वारा आपके जेल में जोड़ सकता है। आपका उत्तर सिर्फ अंतिम उपयोगकर्ता के लिए अधिक भ्रम IMO जोड़ता है इसमें ufw कमांड दर्ज करने का कोई कारण नहीं है। 'आईपीएमपी-पोर्ट-पहुंच योग्य' के साथ 'अस्वीकार करने के लिए डिफ़ॉल्ट iptables कार्रवाई ठीक है। आप fail2ban की बहुमुखी प्रतिभा को हाइलाइट करते हैं .. लेकिन यह इसके बारे में है। – bshea

70

sudo fail2ban-client -vvv set JAIL banip WW.XX.YY.ZZ

चेक जेल जहां आईपी sudo fail2ban-client status

स्रोत

2015-09-02 11:29:55 Marco

+12

यह सही उत्तर इमो होना चाहिए। –

+3

'sudo iptables -nL' - मदद भी कर सकता है। आपको एक त्वरित आईपी प्रतिबंध सूची (यदि iptables का उपयोग कर रहे हैं) देगी और यह दिखाएगा कि प्रत्येक iptables जेल में कौन है। – bshea

+0

यह एक आकर्षण की तरह काम करता है, धन्यवाद। – Devang

2 
sudo fail2ban-client -vvv 'set' 'jail' 'banip' 'ip'

का उपयोग कर जोड़ने के लिए निश्चित रूप से मैनुअल समाधान के रूप में काम करता है। बस एसएसएच के माध्यम से लॉगिन करें और निष्पादित करें।

केवल एक चीज है कि मैं संदेशों को "beatify" प्राप्त कर रहा हूं?

यह भी सुनिश्चित नहीं है कि यह एक आईपी रेंज पर प्रतिबंध लगाएगा या नहीं। सभी श्रेणियों को '185.130.5.0' से 255 तक प्रतिबंधित करने के लिए '185.130.5' दर्ज करें?

स्रोत

2016-02-22 14:00:59

+2

'sudo fail2ban-client set (JAIL) banip 192.168.254.0/24' उस नेटवर्क को प्रतिबंधित करना चाहिए। सभी को अस्वीकार करना चाहिए - 1 9 2.168.254.0/24 0.0.0.0/0 अस्वीकार करें- आईसीएमपी-पोर्ट-पहुंच योग्य ' iptables में – bshea

+0

'beauti fy 'आउटपुट इसलिए है क्योंकि आपके पास बहुत वर्बोज़ है। (-vvv)। आप सामान्य रूप से डीबग आउटपुट प्राप्त करेंगे, जिसमें भी शामिल है। यदि आप देखते हैं: 'DEBUG OK:' 192.168.254.0/24'' (उदाहरण के लिए) इसे जोड़ा जाना चाहिए था। आप लॉग भी देख सकते हैं। – bshea

+0

यदि आईपी (या विशेष रूप से पूरे देश आईपी ब्लॉक) के बड़े नेटवर्क को अवरुद्ध करने की योजना है, तो आप मशीन स्टार्टअप पर स्क्रिप्ट/सूची के माध्यम से इन मैन्युअल रूप से इन्हें दर्ज करना चाहते हैं। इसके अलावा google 'iptables-persistent' .. – bshea

संबंधित मुद्दे

 संबंधित मुद्दे