Skip to content

Fail2ban: Already banned

Mithilfe des Tools Fail2ban kann man automatisiert Logdateien überwachen lassen und entsprechend konfigurierbarer Regeln bestimmen, ab welcher Anzahl an bestimmten Logeinträgen in einem bestimmten Zeitraum z.B. eine IP in die Firewall geworfen werden soll. Auf Fehlkonfiguration ist bei Fail2ban ist allerdings peinlich genau zu achten.

Nicht abgedeckte Ports

Falls eine konfigurierte Regel nicht alle Ports des zu überwachenden Prozesses abdeckt, kommt es zu dem Phänomen, dass Fail2ban dieselbe IP immer und immer wieder blocken möchte. Im Logfile /var/log/fail2ban.log macht sich das wie folgt bemerkbar.

2016-01-01 12:00:00,000 fail2ban.actions: INFO   [process] xxx.xxx.xxx.xxx already banned

Dies weist darauf hin, dass weiterhin Anfragen den Prozess belästigen, obwohl bereits vorher von Fail2ban festgestellt wurde, dass dies geblockt gehört.

Beispiel 

Bei einem Mailserver sind eine Menge an Ports im Spiel und so kann es sein, dass man bei der Fail2ban-Konfiguration z.B. den Message-Submission-Port submission vergisst und ein Bot trotz Blockversuch fröhlich weiterversucht, seinen Spam über den smtpd zu verschleudern.

[sasl]
enabled  = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s,submission
filter   = sasl
logpath  = /var/log/mail.log

Fazit

So ein Blick ins Log von Fail2ban ist immer mal wieder zu etwas gut. Ich hoffe, dass der Hinweis Euch hilft. :-)

Kommentare

Noch keine Kommentare

Kommentar schreiben

Wie heißt der Planet, auf dem wir leben?