Fail2banでブロックすると、クライアント端末でこれが起こりますか?

tag-icon tag-icon security iptables fail2ban
Fail2banでブロックすると、クライアント端末でこれが起こりますか?

私は新しいサーバーマネージャです。私はUbuntu 12.04 VPSでfall2banを設定しました。使ったこれマップ時間。その後、友人のコンピュータからSSH経由でシステムにログインしようとしました。 「ジョブタイムアウト」が表示されます。これはFail2banが役割を果たすことを意味するようです。でも確かにまた確認したかったです。 Fail2banがあなたのIPをブロックすると、クライアント側でこれが起こりますか? fall2ban / iptablesがサーバー側で起動を許可しないため、SSHログインがタイムアウトしますか?

$ ssh -p# user@IP
user@IP's password: 
Permission denied, please try again.
user@IP's password: 
Permission denied, please try again.
user@IP's password: 
^C
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out
$ ssh -p# user@IP
ssh: connect to host IP port #: Operation timed out

ベストアンサー1

このチュートリアルを見ると、次のタイトルの内容に一致するタイムアウトが表示されることがわかります。Fail2ban - Rackspace Knowledge Center

抜粋

Fail2banをテストして、必要に応じて動作していることを確認します。数回のSSHログインに失敗しました。

私たちは、保護するサーバーと攻撃者として機能する別のコンピュータという2台のコンピュータを使用します。

  • 攻撃マシンIP:123.45.67.89
  • サーバーIP:98.76.54.32

テストを実行するには、攻撃システムにログインしてサーバーにSSHを5回試してください。たとえば、

   $ ssh [email protected]

6回目の試行後(sshのmaxretryを5に設定したと仮定)、SSHを再試行すると接続がタイムアウトします。

メモ:最後の文章はご覧の通りです!

fail2ban次のような電子メール送信を設定することもできます。

電子メールを送信するようにFail2banを設定した場合は、次のメッセージが表示されていることを確認してください。

    From fail2ban@ITSecurity  Thu Jul 16 04:59:24 2009
    Subject: [Fail2Ban] ssh: banned 123.45.67.89
    Hi,

    The ip 123.45.67.89 has just been banned by Fail2Ban after 5 attempts 
    against ssh.

    Here are more information about 123.45.67.89:

    {whois info}

    Lines containing IP:123.45.67.89 in /var/log/auth.log

    Jul 16 04:59:16 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:18 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:20 example.com sshd[10390]: Failed password for root from 123.45.67.89 port 46023 ssh2
    Jul 16 04:59:21 example.comsshd[10394]: reverse mapping checking getaddrinfo for 123.45.67.89.example.com [123.45.67.89] failed - POSSIBLE BREAK-IN ATTEMPT!
    Jul 16 04:59:22 example.com sshd[10394]: Failed password for root from 123.45.67.89 port 46024 ssh2

    Regards,

    Fail2Ban

おそらく最も効果的な信号は、攻撃するIPアドレスをブロックするfail2ban新しい規則があるということです。iptables

たとえば、

iptables -L 

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
DROP       all  --  208-78-96-200.realinfosec.com  anywhere

おすすめ記事