Можно ли научить fail2ban банить рецидивы подсетями?

Question

[Максим Васильев]

Обнаружил много рецидивов по спаму из одной подсети (/24).

Можно ли написать такой фильтр, котрый бы обнаруживал баны из одной подсети и банил бы всю подсеть?
Или, например, при рецидиве, смотрел бы в whois диапазон IP и банил бы его целиком?

Comments

[Максим Васильев]

Ах тыж йолки, это всё на питоне!

Answer 1

[Сергей Петриков]

Всю подсеть какой маской? Забаньте тогда 0.0.0.0/0 и не мучайтесь, если хотите банить всех подряд. Смотреть whois или например AS и банить все что там есть - можно, но без разблокировок через пол года вы так весь мир забаните, так что проще сразу всех закрыть. Самый простой и правильный для базового использования способ - настроить ipset и банить через него отдельными адресами, он почти не увеличивает нагрузку на фаирвол от большого количества адресов и не придется резать целые сети, которые могут использоваться и нормальными клиентами, плюс если очень хочется настроить фильтр по геопризнаку и поместить страны, из которых клиентов быть не может, туда целиком.

Comments

[Максим Васильев]

А вы вобще в курсе, что такое fail2ban и как он работает?

[Сергей Петриков]

qmax: Я в курсе, парсит лог на основании правил и при попадании записи в патерн выполняет указанное действие, в базовых шаблонах заносит IP с определенного места лога в определенную запись фаирвола, а вот я вас хочу спросить вы вообще в курсе что такое сервер и как он работает, что такое фаирвол, маски подсети и блокировки? Вы не компетентны в отрасли, задали абсолютно кретинский вопрос и хотите получить на него ответ, мягкий сарказм не прошел, вы решили огрызнуться и блеснуть эрудицией, отвечаю прямо - читайте документацию по системе и что такое фаирвол и фэилтубан вообще, а не то что вы сейчас представляете у себя в голове, потом вдумчиво перечитывайте мой первый ответ еще раз, если снова не дошло - повторить всю процедуру до появления ясности в голове и того что вы вообще хотите сделать.

[Эргил Осин]

Сергей Петриков: идея банить подсетями пришедшая в голову ТСа вообще богатая. Подолбился бот поселившийся у его соседа на компе в 22ой порт его сервера и он ШМЯК подсеть своего провайдера, а потом сидит и курит бамбук.
При этом лично я подсетями баню, но делаю это не автоматом за долбежку, а по принципу «Я уверен, что из Китая никто и никогда на мой сервер по ssh не пойдет», затягиваю список подсетей относящихся к Китаю в ipset и делаю правила на бан этого добра.

[Эргил Осин]

Сергей Петриков: ну да, при чем для предложенного вами и используемого мной варианта есть и готовые строки которые достаточно ввести ТСу. Но так как, судя по всему, он только в наших комментах прочитал про ipset, то и не знал что ему гуглить :)

ipset -N geoblock nethash
for IP in $(wget -O – http://www.ipdeny.com/ipblocks/data/countries/{cn,kr,pk,tw,sg,hk,pe}.zone)
do
ipset -A geoblock $IP
done

iptables -A INPUT -p tcp --dport 22 -m set --match-set geoblock src -j DROP

Страны по вкусу скачаваются там где их скачка, правило вроде правильно потом написал.