Re: fail2ban : soucis dans le script de base

[Michel Grentzinger <mic.grentz@online.fr>]

Le vendredi 24 août 2007 15:15, Pascal Hambourg a écrit :
> > Mais lorsque je vérifie avec iptables -L -n, j'ai ceci :
> > [root@kayak]:~ # iptables -L INPUT -n | grep fail2ban
> > fail2ban-ssh  tcp  --  0.0.0.0/0            0.0.0.0/0           tcp
> > dpt:22
>
> AMA il faudrait plutôt vérifier dans la chaîne utilisateur fail2ban-ssh,
> parce que d'après ce que je lis plus haut c'est là que les règles sont
> ajoutées par fail2ban.
>
> # iptables -nL fail2ban-ssh

Oui, c'était une partie du problème ! Mais le "bannissage" ne fonctionnait pas 
non plus !
En fait, c'est lié au bogue n°407561 (
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=407561)
une vérification était faite avec la résolution inverse ce qui prennait 
beaucoup de temps car j'ai un script iptables un peu long.

Pour ceux que ça interresse, il faut modifier :
[root@kayak]:~ # diff -u /etc/fail2ban/action.d/iptables.conf*
--- /etc/fail2ban/action.d/iptables.conf        2007-08-24 15:06:27.000000000 
+0200
+++ /etc/fail2ban/action.d/iptables.conf-FIRST  2007-08-24 15:05:23.000000000 
+0200
@@ -27,7 +27,7 @@
 # Notes.:  command executed once before each fwban command
 # Values:  CMD
 #
-actioncheck = iptables -L INPUT -n | grep -q fail2ban-<name>
+actioncheck = iptables -L INPUT | grep -q fail2ban-<name>

Et après tout fonctionne !

Ce bogue ne mériterait-il pas une mise à jour dans stable à la prochaine 
révision ?

-- 
Michel Grentzinger
	OpenPGP key ID : B2BAFAFA
		Available on http://www.keyserver.net