Wäre es machbar, das wenn man die Seite aufruft die aktuellen Regeln gleich automatisch geladen werden?
So erspart man sich das laden unter den einstellungen.
und wenn man mal vergisst vorher zu laden, werden ja fail2ban einträge dadurch auch wohl wieder gekillt der eingetragen wurden.
mfg Fiesi
---
EDIT Alex: Nicht mehr relevant mit neuem Firewallsystem in KH 20.3
Firewall in Keyhelp [GELÖST]
Firewall in Keyhelp [GELÖST]
Ein Systemadministrator schläft nicht. Er root! 
Re: Firewall in Keyhelp
Hallo,
das automatische laden ist leider aktuell so nicht möglich, da der Benutzer unter dem KeyHelp läuft ("keyhelp") nicht mit root Rechten läuft (und das ist gut so
). Zum Einlesen der aktuellen Firewall-Regeln braucht man jedoch root-Berechtigungen.
Die fail2ban Kette wird ohnehin automatisch von fail2ban verwaltet. Die kannst du also ignorieren, sie muss halt nur vorhanden sein und, damit sie Wirkung zeigt, aus einer anderen Kette "aufgerufen" werden. - In der Standardeinstellung geschiet dies in der INPUT-Kette.
das automatische laden ist leider aktuell so nicht möglich, da der Benutzer unter dem KeyHelp läuft ("keyhelp") nicht mit root Rechten läuft (und das ist gut so
). Zum Einlesen der aktuellen Firewall-Regeln braucht man jedoch root-Berechtigungen.Die fail2ban Kette wird ohnehin automatisch von fail2ban verwaltet. Die kannst du also ignorieren, sie muss halt nur vorhanden sein und, damit sie Wirkung zeigt, aus einer anderen Kette "aufgerufen" werden. - In der Standardeinstellung geschiet dies in der INPUT-Kette.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Firewall in Keyhelp
mir ist gerade aufgefallen, wenn ich manuell mit iptables ne IP Sperre, greift die DROP nur wenn ich unter Bogus eintrage?
Wieso net auch unter Banned?
oder muss dafür Banned im INPUT bereich nich für den Always ?
iptables -A Banned -s 109.111.222.333 -j DROP - zugriff möglich
iptables -A Bogus -s 109.111.222.333 -j DROP - DROP greift und IP hat kein zugriff mehr
so sind ja auch die "standard" einträge gewesen...
Edit:
Nachtrag, hab mal die regeln neugeladen - ist es richtig das die F2B einträge nicht mit angezeigt werden ? *grübel*
Wieso net auch unter Banned?
oder muss dafür Banned im INPUT bereich nich für den Always ?
iptables -A Banned -s 109.111.222.333 -j DROP - zugriff möglich
iptables -A Bogus -s 109.111.222.333 -j DROP - DROP greift und IP hat kein zugriff mehr
- Screenshot.png (42.02 KiB) Viewed 1996 times
Edit:
Nachtrag, hab mal die regeln neugeladen - ist es richtig das die F2B einträge nicht mit angezeigt werden ? *grübel*
Ein Systemadministrator schläft nicht. Er root!
Re: Firewall in Keyhelp
Jap es ist richtig, das der Inhalt der Kette fail2ban nicht mit angezeigt wird.
---
Habe gerade noch einmal getestet, und bei mir wird geblockt, sobald ich in Banned eine IP Eintrage.
Exportiere mal deine Einstellungen (Drop-Down "Aktion wählen" - "Exportieren") und füge sie hier ein. Ggf. ist an anderer Stelle etwas nicht korrekt.
---
Habe gerade noch einmal getestet, und bei mir wird geblockt, sobald ich in Banned eine IP Eintrage.
Exportiere mal deine Einstellungen (Drop-Down "Aktion wählen" - "Exportieren") und füge sie hier ein. Ggf. ist an anderer Stelle etwas nicht korrekt.
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Firewall in Keyhelp
Wie gesagt, unter Banned eingetragen und konnte trotzdem zugreifen ^^
Code: Select all
#
# Generated by KeyHelp on 13:00:02 - March 13 2018
#
*filter
# chains
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:Allow - [0:0]
:Always - [0:0]
:Banned - [0:0]
:Bogus - [0:0]
:Friend - [0:0]
:fail2ban - [0:0]
# chain: INPUT
-A INPUT -j Bogus
-A INPUT -j Always
-A INPUT -j Banned
-A INPUT -j fail2ban
-A INPUT -j Allow
# chain: FORWARD
-A FORWARD -j Bogus
-A FORWARD -j Always
-A FORWARD -j Banned
-A FORWARD -j Allow
# chain: OUTPUT
# - no content -
# chain: Allow
-A Allow --protocol icmp --match icmp --icmp-type 8 -j Friend
-A Allow --protocol icmp --match icmp --match limit --icmp-type any --limit 1/sec -j ACCEPT
-A Allow --protocol icmp --match icmp --icmp-type any -j DROP
-A Allow --in-interface lo -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 53 -j ACCEPT
-A Allow --protocol udp --match udp --destination-port 53 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 20 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 21 -j ACCEPT
-A Allow --protocol tcp --match multiport --destination-ports 30000:50000 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 22 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 80 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 443 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 25 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 587 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 110 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 143 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 993 -j ACCEPT
-A Allow --protocol tcp --match tcp --destination-port 995 -j ACCEPT
-A Allow -j REJECT --reject-with icmp-port-unreachable
# chain: Always
-A Always --in-interface lo -j ACCEPT
-A Always --match state --state RELATED,ESTABLISHED -j ACCEPT
-A Always -j Friend
# chain: Banned
-A Banned --match geoip --source-country CN,PK,RO,RU,PT -j DROP
# chain: Bogus
-A Bogus --protocol tcp --match tcp --tcp-flags FIN,SYN FIN,SYN -j DROP
-A Bogus --protocol tcp --match tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A Bogus --source 169.254.0.0/16 -j DROP
-A Bogus --source 172.16.0.0/12 -j DROP
-A Bogus --source 192.0.2.0/24 -j DROP
-A Bogus --source 192.168.0.0/16 -j DROP
-A Bogus --source 10.0.0.0/8 -j DROP
-A Bogus --source 127.0.0.0/8 ! --in-interface lo -j DROP
# chain: Friend
-A Friend -j RETURN
# chain: fail2ban
# comment fail2ban: - auto added to match requirements / auto managed by fail2ban service -
# - no content -
COMMIT
# Completed on 13:00:02 - March 13 2018
Ein Systemadministrator schläft nicht. Er root!