Logo fail2ban

Cómo saber si fail2ban ha baneado una IP y en qué servicio

Published on : 12 mayo, 2020
Leave a Comment

Fail2ban es una herramienta imprescindible para montar un servidor web hoy en día, si necesitáis saber más sobre ella, este enlace a su Wiki os lo aclara. Pero a veces bloquea a alguien que simplemente se equivoca al teclear una contraseña al intentar acceder al servicio de FTP, SSH o el correo (entrada o salida). Estos son los servicios que principalmente protejo con Fail2Ban y que son susceptibles los clientes de tener problemas con los baneos.

Cuando ocurre que alguien es baneado por escribir mal el usuario/contraseña, la forma más rápida de saber si está o no en lista de baneo es lanzando el comando:

fail2ban-client status | grep "Jail list:" | sed "s/ //g" | awk '{split($2,a,",");for(i in a) system("fail2ban-client status " a[i])}' | grep "Status\|IP list"

Y si aparece la IP del usuario en una lista como:

Status for the jail: dovecot

   `- Banned IP list:xxx.xxx.xxx.xxx

Status for the jail: postfix

   `- Banned IP list: xxx.xxx.xxx.xxx

Status for the jail: pure-ftpd

   `- Banned IP list:xxx.xxx.xxx.xxx

Status for the jail: sshd

   `- Banned IP list:xxx.xxx.xxx.xxx

Sólo tenemos que quitarla de esa lista con la instrucción:

fail2ban-client set pure-ftpd unbanip xxx.xxx.xxx.xxx

Si además, es un usuario que tiene IP estática y regularmente se va a conectar, podemos añadirlo a la lista blanca en el archivo /etc/fail2ban/jail.conf, poniendo la IP en el parámetro

ignoreip = xxx.xxx.xxx.xxx

 

 

 

0 comments

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.