Cómo saber si fail2ban ha baneado una IP y en qué servicio
Fail2ban es una herramienta imprescindible para montar un servidor web hoy en día, si necesitáis saber más sobre ella, este enlace a su Wiki os lo aclara. Pero a veces bloquea a alguien que simplemente se equivoca al teclear una contraseña al intentar acceder al servicio de FTP, SSH o el correo (entrada o salida). Estos son los servicios que principalmente protejo con Fail2Ban y que son susceptibles los clientes de tener problemas con los baneos.
Cuando ocurre que alguien es baneado por escribir mal el usuario/contraseña, la forma más rápida de saber si está o no en lista de baneo es lanzando el comando:
fail2ban-client status | grep "Jail list:" | sed "s/ //g" | awk '{split($2,a,",");for(i in a) system("fail2ban-client status " a[i])}' | grep "Status\|IP list"
Y si aparece la IP del usuario en una lista como:
Status for the jail: dovecot `- Banned IP list:xxx.xxx.xxx.xxx Status for the jail: postfix `- Banned IP list: xxx.xxx.xxx.xxx Status for the jail: pure-ftpd `- Banned IP list:xxx.xxx.xxx.xxx Status for the jail: sshd `- Banned IP list:xxx.xxx.xxx.xxx
Sólo tenemos que quitarla de esa lista con la instrucción:
fail2ban-client set pure-ftpd unbanip xxx.xxx.xxx.xxx
Si además, es un usuario que tiene IP estática y regularmente se va a conectar, podemos añadirlo a la lista blanca en el archivo /etc/fail2ban/jail.conf, poniendo la IP en el parámetro
ignoreip = xxx.xxx.xxx.xxx
0 comments