Re: fail2ban : soucis dans le script de base
Le vendredi 24 août 2007 15:15, Pascal Hambourg a écrit :
> > Mais lorsque je vérifie avec iptables -L -n, j'ai ceci :
> > [root@kayak]:~ # iptables -L INPUT -n | grep fail2ban
> > fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
> > dpt:22
>
> AMA il faudrait plutôt vérifier dans la chaîne utilisateur fail2ban-ssh,
> parce que d'après ce que je lis plus haut c'est là que les règles sont
> ajoutées par fail2ban.
>
> # iptables -nL fail2ban-ssh
Oui, c'était une partie du problème ! Mais le "bannissage" ne fonctionnait pas
non plus !
En fait, c'est lié au bogue n°407561 (
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=407561)
une vérification était faite avec la résolution inverse ce qui prennait
beaucoup de temps car j'ai un script iptables un peu long.
Pour ceux que ça interresse, il faut modifier :
[root@kayak]:~ # diff -u /etc/fail2ban/action.d/iptables.conf*
--- /etc/fail2ban/action.d/iptables.conf 2007-08-24 15:06:27.000000000
+0200
+++ /etc/fail2ban/action.d/iptables.conf-FIRST 2007-08-24 15:05:23.000000000
+0200
@@ -27,7 +27,7 @@
# Notes.: command executed once before each fwban command
# Values: CMD
#
-actioncheck = iptables -L INPUT -n | grep -q fail2ban-<name>
+actioncheck = iptables -L INPUT | grep -q fail2ban-<name>
Et après tout fonctionne !
Ce bogue ne mériterait-il pas une mise à jour dans stable à la prochaine
révision ?
--
Michel Grentzinger
OpenPGP key ID : B2BAFAFA
Available on http://www.keyserver.net
Reply to: