Почему в сборке FreePBX не работает iptables?

Question

[Владислав Колоцей]

Установил FreePBX Distro и включил iptables. И почему-то пускает на все сервисы, хотя раньше у меня был чистый asterisk и при включенном iptables без правил вообще никуда не пускало. Я так понимаю всё дело тут в fail2ban, только в стадартном конфиге я не нашел никаких там правил. Где они прописываются? И я не хотел бы, чтобы всю безопасность отслеживал только fail2ban, хочу сделать связку в виде iptables + fail2ban

Answer 1

[Игорь]

1) Что означает "включил iptables"? Где правила?)))
2) Может раньше с iptables без правил были политики на DENY настроены, вот и не пускало никуда, хоть и правил не было.

Покажите iptables -L -n -v

Comments

[Владислав Колоцей]

Вот какие правила существуют.

Chain INPUT (policy ACCEPT 56 packets, 5704 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0 fail2ban-FTP  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:21
   38  4264 fail2ban-apache-auth  tcp  --  *      *       0.0.0.0/0            0                                                                                        .0.0.0/0
   56  5704 fail2ban-SIP  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                        
   56  5704 fail2ban-PBX-GUI  all  --  *      *       0.0.0.0/0            0.0.0                                                                                        .0/0
    0     0 fail2ban-BadBots  tcp  --  *      *       0.0.0.0/0            0.0.0                                                                                        .0/0           multiport dports 80,443
   38  4264 fail2ban-SSH  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                   tcp dpt:22
   56  5704 fail2ban-recidive  all  --  *      *       0.0.0.0/0            0.0.                                                                                        0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                         

Chain OUTPUT (policy ACCEPT 33 packets, 5825 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                         

Chain fail2ban-BadBots (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

Chain fail2ban-FTP (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

Chain fail2ban-PBX-GUI (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
   56  5704 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

Chain fail2ban-SIP (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
   56  5704 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

Chain fail2ban-SSH (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
   38  4264 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

Chain fail2ban-apache-auth (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
   38  4264 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                           

Chain fail2ban-recidive (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                         
   56  5704 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

[Владислав Колоцей]

Так вот именно, по идее фаервол в cent os настроен таким образом, чтоб вообще ничего не пропускать, пока не добавишь определенные правила. А тут только настроена система fail2ban и пропускает куда угодно. НУ конечно если не превысишь лимит запросов.

[Игорь]

По-моему ваш вопрос неправилен =) И fail2ban тут ни при чём.

Iptables у вас работает так, как он у вас и сконфигурирован)
А сконфигурирован он у вас так: Принимать/отдавать/пропускать любой трафик и банить при флуде на перечисленные сервисы=)

Просто добавьте необходимые запрещающие правила в цепочку INPUT.
- Если хотите закрыть всё остальное сервисы, что не защищает fail2ban, то добавьте запрещающее правило после последнего правила fail2ban
- Если прямо вообще всё хотите запретить, то поставьте его перед первым правилом fail2ban =)

А если у вас до этого с пустыми правилами в iptables ничего не пропускало, то скорее всего стояла политика по умолчанию DROP или REJECT на цепочку INPUT.
Если хотите, можете её включить:

iptables -P INPUT DROP

P.S: Или опишите, как конкретно должен "работать" iptables, подскажу с конфигом =)
P.P.S: Правда будьте аккуратней с политикой -P INPUT DROP, т.к. при очистке iptables -F - потеряете доступ =) На вашем месте лучше добавить правило, чем политику)

[Игорь]

А настройки fail2ban лежат в /etc/fail2ban/jail.conf
Просто отключите через false в графе enabled напротив ненужных сервисов =)

[Владислав Колоцей]

Игорь: просто asterisk сам прописывает эти правила. Если я выключаю систему fail2ban, то всё отключается. А потом включаю fail2ban, он автоматом эти правила прописывает. Вот я хочу узнать в каком они конфиге прописаны, потому что в стандартном вообще ничего нету. Кроме как время бана, количество попыток и всё.

[Владислав Колоцей]

Игорь: я эти правила даже не изменял, они изначально включены в сборку, если включить fail2ban. Вот, например, у меня стоит разрешения на 22 порт по ssh в fail2ban, он пропускает все запросы, а мне нужно, чтобы он был доступен только внутри локалки. Стандартное правило тут не поможет, потому что fail2ban разрешает проходить всем по 22 порту. Вот где эти правила прописаны, чтобы я мог изменить их?

[Игорь]

Всё в той же папке /etc/fail2ban/
action.d = отвечает за действия
filter.d = отвечает за фильтры

Создайте кастомный action.d-шаблон и навешайте на нужный сервис через графу banaction = , если стандартный не устраивает =)