KeyHelp Community

Hallöchen,

ich würde gern mal einen Wunsch in den Raum werfen, über den ich gerne auch mal mit euch sprechen würde wie sinnvoll dies ist.
Um ehrlich zu sein bat mein Boss darum dies mal hier anzusprechen, aber auch ich würde nun gern mal darüber sprechen.

Es gibt für Fail2Ban die Konfigurationsmöglichkeit bestimmte IPs zu ignorieren.

Hintergrund / Usecase ist bei uns aktuell folgender:
Ein großer Kunde hat irgendwo was falsch eingerichtet, dieser hat eine statische IP. Bei der großen Menge an Arbeitsplätzen auf die Schnelle direkt den zu finden bei dem dieses Einrichtungsproblem ist, ist nicht so einfach (ja klar, Userfehler und so. Ich weiß. Das mal hinten angestellt).
Währenddessen hat aber kein anderer Zugriff auf die Mails. Da alle paar Minuten durch F2B geblockt.

Mir ist bewusst das ich es einfach in der Konfig anpassen kann. Beispiel code sähe so aus:

Code: Select all

[DEFAULT] 
ignoreip = 127.0.0.1/8 your_ip_address your_ip_address2 your_ip_address3

Wäre es ne Option dies in das Webinterface zu integrieren?
Wie seht ihr das?

Gruß,
Luuk

Du kannst doch über die Firewall IPs jeglicher Art sperren.
Und gesperrt ist gesperrt.
Egal wo.

Sehe ich im Moment nicht. Das fände ich höchstens dann sinnvoll, wenn man sowieso die komplette Konfiguration der Jails von fail2ban ins Panel einbauen wollte. Wobei ich an der Sinnhaftigkeit eines solchen Einbaus meine Zweifel habe.

Deine Anpassung fände ich auch schon bedenklich, zumal sie so auch noch für ALLE Jails gelten würde, anstatt nur für das oder die konkreten Jails, die betroffen sind. Angriffe von innen auf Mail-Accounts von Benutzern, aber auch auf viele andere durch fail2ban geschützte Dienste wären so enorm erleichtert, weil fail2ban sie alle ignorieren würde.

Luukullus wrote: ↑Wed 24. Apr 2024, 10:32 Mir ist bewusst das ich es einfach in der Konfig anpassen kann. Beispiel code sähe so aus:
Code: Select all
[DEFAULT] 
ignoreip = 127.0.0.1/8 your_ip_address your_ip_address2 your_ip_address3

Damit würdest Du diese IP für alle Jails whitelisten ... keine gute Idee!
habe das früher einmal so in etwa umgesetzt ...

Code: Select all

nano /etc/fail2ban/jail.local
# unter
before = paths-debian.conf
# erweitern z.b. müsste dann in etwa so aussehen

before = paths-debian.conf
         list_of_ipaddresses_to_whitelist.conf

dann die Liste erstellen z.b.

Code: Select all

nano /etc/fail2ban/list_of_ipaddresses_to_whitelist.conf

[apache-auth]
ignoreip =  127.0.0.1/8
 xx.xx.xxx.xxx
 xx.xx.xxx.xxx

[postfix]
ignoreip = 127.0.0.1/8
 xx.xx.xxx.xxx
 xx.xx.xxx.xxx

Wichtig dabei das exakte einrücken, also die nachfolgenden IPs beginnen immer mit einem Space!
geht auch alles in einer Reihe mit spaces, aber so ist es übersichtlicher ...

dann Fail2ban neu starten
tail -n 500 /var/log/fail2ban.log

Tobi wrote: ↑Wed 24. Apr 2024, 11:34 Du kannst doch über die Firewall IPs jeglicher Art sperren.
Und gesperrt ist gesperrt.
Egal wo.

Hey Tobi, vielen Dank für deine Antwort.
Es geht allerdings nicht um sperren, sondern um das verhindern einer Sperrung durch F2B (Nur Temporär)

--------------------------------------------------------------------------------------------

tab-kh wrote: ↑Wed 24. Apr 2024, 11:40 Sehe ich im Moment nicht. Das fände ich höchstens dann sinnvoll, wenn man sowieso die komplette Konfiguration der Jails von fail2ban ins Panel einbauen wollte. Wobei ich an der Sinnhaftigkeit eines solchen Einbaus meine Zweifel habe.

Deine Anpassung fände ich auch schon bedenklich, zumal sie so auch noch für ALLE Jails gelten würde, anstatt nur für das oder die konkreten Jails, die betroffen sind. Angriffe von innen auf Mail-Accounts von Benutzern, aber auch auf viele andere durch fail2ban geschützte Dienste wären so enorm erleichtert, weil fail2ban sie alle ignorieren würde.

Das war jetzt nur ein Beispiel. Die Version von Ralph ist natürlich wesentlich besser.
Mir geht es auch letztendlich nur um eine temporäre Anpassung. Also für einen Fall in der Zukunft, falls es mal aufgenommen wird, wäre es für mich von Interesse so einen Eintrag zeitlich begrenzt erstellen zu können (mit automatischem entfernen oder so).

Ich fände allerdings eine Integration der F2B Funktion allgemein gar nicht so schlecht.
Zumindest für die von KH verwendeten Jails und Dienste.

--------------------------------------------------------------------------------------------

Ralph wrote: ↑Wed 24. Apr 2024, 12:37
Luukullus wrote: ↑Wed 24. Apr 2024, 10:32 Mir ist bewusst das ich es einfach in der Konfig anpassen kann. Beispiel code sähe so aus:
Code: Select all
[DEFAULT] 
ignoreip = 127.0.0.1/8 your_ip_address your_ip_address2 your_ip_address3
Damit würdest Du diese IP für alle Jails whitelisten ... keine gute Idee!
habe das früher einmal so in etwa umgesetzt ...
Code: Select all
nano /etc/fail2ban/jail.local
# unter
before = paths-debian.conf
# erweitern z.b. müsste dann in etwa so aussehen

before = paths-debian.conf
         list_of_ipaddresses_to_whitelist.conf
dann die Liste erstellen z.b.
Code: Select all
nano /etc/fail2ban/list_of_ipaddresses_to_whitelist.conf

[apache-auth]
ignoreip =  127.0.0.1/8
 xx.xx.xxx.xxx
 xx.xx.xxx.xxx

[postfix]
ignoreip = 127.0.0.1/8
 xx.xx.xxx.xxx
 xx.xx.xxx.xxx
Wichtig dabei das exakte einrücken, also die nachfolgenden IPs beginnen immer mit einem Space!
geht auch alles in einer Reihe mit spaces, aber so ist es übersichtlicher ...

dann Fail2ban neu starten
tail -n 500 /var/log/fail2ban.log

Mega!
Das ist durchaus sehr brauchbar für mich gerade. Vielen Dank.

--------------------------------------------------------------------------------------------

Ist letztendlich auch erstmal nur ein Gedanke gewesen. Ich weiß nicht wie oft so etwas überhaupt gebraucht wird.
Für diesen Fall trage ich es eh manuell ein, aber ich wollte es mal ansprechen.

Vielen Dank für eure Meinungen

,
Luuk

KeyHelp Community

Fail 2 Ban Whitelist / IP Ignore List

Fail 2 Ban Whitelist / IP Ignore List

Re: Fail 2 Ban Whitelist / IP Ignore List

Re: Fail 2 Ban Whitelist / IP Ignore List

Re: Fail 2 Ban Whitelist / IP Ignore List

Re: Fail 2 Ban Whitelist / IP Ignore List [GELÖST]