Удалить из fail2ban заблокированный ip
Хочу рассказать в своей теме «Удалить из fail2ban заблокированный ip» как удалить из fail2ban заблокированный ip. Процедура очень простая и сейчас я покажу на готовых примерах как я это выполнял.
Проверим список ip адресов:
# iptables -L -n
Вот что имеем:
┌(captain-notes)─(✓)─(11:54 AM Tue Mar 17) └─(/etc/fail2ban)─(12 files, 88Kb)─> iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination f2b-ReqLimit tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 f2b-phpmyadmin tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 [...] Chain f2b-phpmyadmin (1 references) target prot opt source destination REJECT all -- 194.150.168.95 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 178.151.40.243 0.0.0.0/0 reject-with icmp-port-unreachable RETURN all -- 0.0.0.0/0 0.0.0.0/0 [...]
Удалить, например, из таблицы fail2ban-roundcube ip можно с помощью команды:
# iptables -D fail2ban-roundcube -s xxx.xxx.xxx.xxx -j DROP
где xxx.xxx.xxx.xxx — ip адрес который надо разблокировать.
Если брать мой пример, то стоит выполнить:
# iptables -D f2b-phpmyadmin -s 194.150.168.95 -j REJECT # iptables -D f2b-phpmyadmin -s 178.151.40.243 -j REJECT
f2b-phpmyadmin — это цепочка.
194.150.168.95, 178.151.40.243 — заблокированные ИП.
REJECT, DROP… — означает (говорит) что ИП был заблокирован.
Можно еще раз вызвать команду:
# iptables -L -n
Есть еще 1 способ это сделать, средствами самого fail2ban. Сейчас покажу как это можно сделать.
Выводим список всех наших клеток (jail):
# fail2ban-client status Status |- Number of jail: 10 `- Jail list: nginx-req-limit, phpmyadmin, sshd, w00tw00t-scans
Вывод списка IP для конкретной клетки ( для конкретного jail):
# fail2ban-client status phpmyadmin Status for the jail: phpmyadmin |- Filter | |- Currently failed: 0 | |- Total failed: 15 | `- File list: /var/log/nginx/pma.windows-notes.org.log `- Actions |- Currently banned: 1 |- Total banned: 5 `- Banned IP list: 178.151.40.243
То для того чтобы разбанить ( удалить ИП с заблокированного листа) необходимо выполнить следующую команду:
# fail2ban-client set phpmyadmin unbanip 178.151.40.243
phpmyadmin — имя клетки.
178.151.40.243 — заблокированный IP (меняем на свой).
Создадим скрипт для подчета количиства забаненных ИП во всех jail-ах:
# vim /root/checklist_ban #!/bin/bash JAILS=$(fail2ban-client status | grep " Jail list:" | sed 's/`- Jail list:\t\t//g' | sed 's/,//g') for j in $JAILS do echo "$j $(fail2ban-client status $j | grep " Currently banned:" | sed 's/ |- Currently banned:\t//g')" done
Выставим права на данный файл:
$ chmod 700 /root/checklist_ban
запускаем данный скрипт:
# /root/checklist_ban
Генерация простых отчетов.
Все из следующих команд можно запустить из командной строки или с помощью скрипта. Они написаны для систем Linux / UNIX, но может работать и на других платформах.
Группировка по IP адресу:
# awk '($(NF-1) = /Ban/){print $NF}' /var/log/fail2ban.log | sort | uniq -c | sort -n
Примечание: переменная NF равна числу полей в каждой строке в лог файле. $NF является значением для последнего поля.
В конце вывода Вы получите:
1 176.108.160.253 1 78.140.128.228 1 91.201.182.29 2 109.86.212.179 4 194.150.168.95 4 213.61.149.100 8 178.151.40.243
Чтобы запустить этот отчет для всех логов нужно небольшое изменение:
# zgrep -h "Ban " /var/log/fail2ban.log* | awk '{print $NF}' | sort | uniq -c
И получите следующий вывод:
2 109.86.212.179 1 176.108.160.253 8 178.151.40.243 4 194.150.168.95 4 213.61.149.100 1 78.140.128.228 1 91.201.182.29
Какие конкретные IP-адреса участвуют:
# zcat /var/log/fail2ban.log* | awk '(NF == 6 && $NF ~ /^91\.201\./){print $NF}' | sort | uniq -c
Выход этого будет список IP-адресов, начинающихся с 91.201. Если они выглядят, как будто они частью подсети (или нескольких подсетей).
Группировка по IP адрес и имеми хоста:
Команда для включения хостов в списке немного сложнее. Вы также должны вставить правильный путь к программе logresolve, который преобразует IP-адресов для хостов (например /usr/sbin/logresolve ):
# awk '($(NF-1) = /Ban/){print $NF,"("$NF")"}' /var/log/fail2ban.log | sort | logresolve | uniq -c | sort -n
Примечание: Команда logresolve может занять некоторое время, особенно, если есть много IP-адресов, подлежащих обработке.
Вывод получим следующий:
1 160-108-176.sktv.ru (176.108.160.253) 1 91.201.182.29 (91.201.182.29) 1 nat.webazilla.com (78.140.128.228) 2 179.212.86.109.triolan.net (109.86.212.179) 4 h-213.61.149.100.host.de.colt.net (213.61.149.100) 4 kaputte.li (194.150.168.95) 8 243.40.151.178.triolan.net (178.151.40.243)
Группировка по IP адресу и в разделе Fail2ban:
# grep "Ban " /var/log/fail2ban.log | awk -F[\ \:] '{print $10,$8}' | sort | uniq -c | sort -n
Это показывает нам, какие услуги каждый IP-адрес пытается открыть / использовать:
21
Отчет о «сегодняшней деятельности»:
Вот отчет я считаю, полезно запускать до полуночи каждого дня, чтобы генерировать итоги деятельности за день:
# grep "Ban " /var/log/fail2ban.log | grep `date +%Y-%m-%d` | awk '{print $NF}' | sort | awk '{print $1,"("$1")"}' | logresolve | uniq -c | sort -n
Группировка по дате и раздел Fail2ban:
Этот отчет проверяет все Fail2ban лог-файлов и дает вам краткую информацию о том, сколько запрет мероприятия были для каждого раздела на каждый день:
# zgrep -h "Ban " /var/log/fail2ban.log* | awk '{print $5,$1}' | sort | uniq -c
Вывод:
1 NOTICE 2015-03-13 2 NOTICE 2015-03-15 12 NOTICE 2015-03-17 5 NOTICE 2015-03-19 1 NOTICE 2015-03-20
И убедится что все работает. А на этом, я завершаю свою статью «Удалить из fail2ban заблокированный ip».
спасибо. Помогло
fail2ban-client set phpmyadmin unbanip 178.151.40.243