Hi,
kann das sein, dass die Firewall nicht mehr klappt?
iptables -L
Chain f2b-dovecot (1 references) target prot opt source destination REJECT all -- 45.142.195.3 anywhere reject-with icmp-port-unreachable
Fail2Ban log
2020-04-22 12:02:16,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:02:15 2020-04-22 12:02:53,848 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:02:53 2020-04-22 12:03:31,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:03:30 2020-04-22 12:04:08,598 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:04:08 2020-04-22 12:04:46,099 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:04:45 2020-04-22 12:04:46,615 fail2ban.actions [22038]: WARNING [dovecot] 45.142.195.3 already banned 2020-04-22 12:05:23,348 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:05:22 2020-04-22 12:06:00,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:05:59 2020-04-22 12:06:37,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:06:36 2020-04-22 12:07:14,348 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:07:14 2020-04-22 12:07:51,348 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:07:50 2020-04-22 12:07:51,653 fail2ban.actions [22038]: WARNING [dovecot] 45.142.195.3 already banned 2020-04-22 12:08:28,599 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:08:28 2020-04-22 12:09:05,598 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:09:05
Kann das jemand noch bestätigen?
Grüße Andreas
Hallo,
ich hatte (habe?) vor ein paar Wochen ein ähnliches Problem, allerdings mit firewallcmd-ipset als banaction. fail2ban hat laut eigener Protokolle zwar die IPs gebannt, die Regeln/IPsets waren aber nicht in der Firewall, wobei das immer erst nach einiger Laufzeit passiert ist. Mir fehlte leider die Zeit, es genauer zu ergründen – ein Neustart von firewalld und fail2ban hat es jeweils behoben. Mittlerweile scheint es nicht mehr zu passieren, ohne dass ich etwas bewusst geändert hätte. Meine Vermutung war, dass es mit teilweise aktualisierten Python3-Modulen (aus einem anderen Repo) zusammenhing.
Viele Grüße Matthias
Am Mittwoch, 22. April 2020, 12:11:45 CEST schrieb Andreas Ernst:
Hi,
kann das sein, dass die Firewall nicht mehr klappt?
iptables -L
Chain f2b-dovecot (1 references) target prot opt source destination REJECT all -- 45.142.195.3 anywhere reject-with icmp-port-unreachable
Fail2Ban log
2020-04-22 12:02:16,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:02:15 2020-04-22 12:02:53,848 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:02:53 2020-04-22 12:03:31,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:03:30 2020-04-22 12:04:08,598 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:04:08 2020-04-22 12:04:46,099 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:04:45 2020-04-22 12:04:46,615 fail2ban.actions [22038]: WARNING [dovecot] 45.142.195.3 already banned 2020-04-22 12:05:23,348 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:05:22 2020-04-22 12:06:00,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:05:59 2020-04-22 12:06:37,098 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:06:36 2020-04-22 12:07:14,348 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:07:14 2020-04-22 12:07:51,348 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:07:50 2020-04-22 12:07:51,653 fail2ban.actions [22038]: WARNING [dovecot] 45.142.195.3 already banned 2020-04-22 12:08:28,599 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:08:28 2020-04-22 12:09:05,598 fail2ban.filter [22038]: INFO [dovecot] Found 45.142.195.3 - 2020-04-22 12:09:05
Kann das jemand noch bestätigen?
Grüße Andreas
Am 24.04.20 um 11:59 schrieb Matthias Fehring:
Hallo,
ich hatte (habe?) vor ein paar Wochen ein ähnliches Problem, allerdings mit firewallcmd-ipset als banaction. fail2ban hat laut eigener Protokolle zwar die IPs gebannt, die Regeln/IPsets waren aber nicht in der Firewall, wobei das immer erst nach einiger Laufzeit passiert ist. Mir fehlte leider die Zeit, es genauer zu ergründen – ein Neustart von firewalld und fail2ban hat es jeweils behoben. Mittlerweile scheint es nicht mehr zu passieren, ohne dass ich etwas bewusst geändert hätte. Meine Vermutung war, dass es mit teilweise aktualisierten Python3-Modulen (aus einem anderen Repo) zusammenhing.
Nein, da immer noch Meldung im Fail2Ban Log auftauchen:
2020-05-26 11:42:32,115 fail2ban.actions [2037]: WARNING [dovecot] 45.142.195.9 already banned
mail:~ # iptables -L | grep 45.142.195.9 REJECT all -- 45.142.195.9 anywhere reject-with icmp-port-unreachable
BugReport ist draußen https://bugzilla.opensuse.org/show_bug.cgi?id=1170207
Am 26.05.20 um 11:45 schrieb Andreas Ernst:
Am 24.04.20 um 11:59 schrieb Matthias Fehring:
Hallo,
ich hatte (habe?) vor ein paar Wochen ein ähnliches Problem, allerdings mit firewallcmd-ipset als banaction. fail2ban hat laut eigener Protokolle zwar die IPs gebannt, die Regeln/IPsets waren aber nicht in der Firewall, wobei das immer erst nach einiger Laufzeit passiert ist. Mir fehlte leider die Zeit, es genauer zu ergründen – ein Neustart von firewalld und fail2ban hat es jeweils behoben. Mittlerweile scheint es nicht mehr zu passieren, ohne dass ich etwas bewusst geändert hätte. Meine Vermutung war, dass es mit teilweise aktualisierten Python3-Modulen (aus einem anderen Repo) zusammenhing.
Nein, da immer noch Meldung im Fail2Ban Log auftauchen:
2020-05-26 11:42:32,115 fail2ban.actions [2037]: WARNING [dovecot] 45.142.195.9 already banned
mail:~ # iptables -L | grep 45.142.195.9 REJECT all -- 45.142.195.9 anywhere reject-with icmp-port-unreachable
BugReport ist draußen https://bugzilla.opensuse.org/show_bug.cgi?id=1170207
Der Bugreport ist von Ende April, bis jetzt ist nichts passiert. Der Bug scheint auch keinen zu interessieren. Da Frage ich mich nach dem Sinn von BugReports.
Abgesehen davon müßte jeder der Fail2Ban einsetzt, das gleiche Problem haben.
Oder wie wird das mit BugReports gehandhabt?
Grüße Andreas
Am Samstag, 13. Juni 2020, 13:39:37 CEST schrieb Andreas Ernst:
Am 26.05.20 um 11:45 schrieb Andreas Ernst:
Am 24.04.20 um 11:59 schrieb Matthias Fehring:
Hallo,
ich hatte (habe?) vor ein paar Wochen ein ähnliches Problem, allerdings mit firewallcmd-ipset als banaction. fail2ban hat laut eigener Protokolle zwar die IPs gebannt, die Regeln/IPsets waren aber nicht in der Firewall, wobei das immer erst nach einiger Laufzeit passiert ist. Mir fehlte leider die Zeit, es genauer zu ergründen – ein Neustart von firewalld und fail2ban hat es jeweils behoben. Mittlerweile scheint es nicht mehr zu passieren, ohne dass ich etwas bewusst geändert hätte. Meine Vermutung war, dass es mit teilweise aktualisierten Python3-Modulen (aus einem anderen Repo) zusammenhing.
Nein, da immer noch Meldung im Fail2Ban Log auftauchen:
2020-05-26 11:42:32,115 fail2ban.actions [2037]: WARNING [dovecot] 45.142.195.9 already banned
mail:~ # iptables -L | grep 45.142.195.9 REJECT all -- 45.142.195.9 anywhere reject-with icmp-port-unreachable
BugReport ist draußen https://bugzilla.opensuse.org/show_bug.cgi?id=1170207
Der Bugreport ist von Ende April, bis jetzt ist nichts passiert. Der Bug scheint auch keinen zu interessieren. Da Frage ich mich nach dem Sinn von BugReports.
Abgesehen davon müßte jeder der Fail2Ban einsetzt, das gleiche Problem haben.
Oder wie wird das mit BugReports gehandhabt?
Ich habe hier fail2ban aus dem security repo, und firewalld aus security/ netfilter installiert, also firewalld 0.7.4 und fail2ban 0.11.1.
Soweit ich es seh funktioniert alles. Hast Du fail2ban auch aktiv configuriert? Nur installieren bringt nix, du musst ja auch die entsprechenden jails einschalten.
Cheers MH
Am 13.06.20 um 14:27 schrieb Mathias Homann:
Am Samstag, 13. Juni 2020, 13:39:37 CEST schrieb Andreas Ernst:
Am 26.05.20 um 11:45 schrieb Andreas Ernst:
Am 24.04.20 um 11:59 schrieb Matthias Fehring:
Hallo,
ich hatte (habe?) vor ein paar Wochen ein ähnliches Problem, allerdings mit firewallcmd-ipset als banaction. fail2ban hat laut eigener Protokolle zwar die IPs gebannt, die Regeln/IPsets waren aber nicht in der Firewall, wobei das immer erst nach einiger Laufzeit passiert ist. Mir fehlte leider die Zeit, es genauer zu ergründen – ein Neustart von firewalld und fail2ban hat es jeweils behoben. Mittlerweile scheint es nicht mehr zu passieren, ohne dass ich etwas bewusst geändert hätte. Meine Vermutung war, dass es mit teilweise aktualisierten Python3-Modulen (aus einem anderen Repo) zusammenhing.
Nein, da immer noch Meldung im Fail2Ban Log auftauchen:
2020-05-26 11:42:32,115 fail2ban.actions [2037]: WARNING [dovecot] 45.142.195.9 already banned
mail:~ # iptables -L | grep 45.142.195.9 REJECT all -- 45.142.195.9 anywhere reject-with icmp-port-unreachable
BugReport ist draußen https://bugzilla.opensuse.org/show_bug.cgi?id=1170207
Der Bugreport ist von Ende April, bis jetzt ist nichts passiert. Der Bug scheint auch keinen zu interessieren. Da Frage ich mich nach dem Sinn von BugReports.
Abgesehen davon müßte jeder der Fail2Ban einsetzt, das gleiche Problem haben.
Oder wie wird das mit BugReports gehandhabt?
Ich habe hier fail2ban aus dem security repo, und firewalld aus security/ netfilter installiert, also firewalld 0.7.4 und fail2ban 0.11.1.
Soweit ich es seh funktioniert alles. Hast Du fail2ban auch aktiv configuriert? Nur installieren bringt nix, du musst ja auch die entsprechenden jails einschalten.
ich denke, ja
Status for the jail: dovecot |- Filter | |- Currently failed: 16 | |- Total failed: 5951 | `- Journal matches: _SYSTEMD_UNIT=dovecot.service `- Actions |- Currently banned: 19 |- Total banned: 75 `- Banned IP list: 212.70.149.18 46.38.145.248 46.38.145.249 87.246.7.70 212.70.149.2 46.38.145.250 46.38.145.251 46.38.145.252 46.38.145.6 46.38.145.254 46.38.145.4 46.38.145.5 46.38.150.190 46.38.150.191 212.70.149.34 46.38.150.153 46.38.150.142 46.38.145.253 46.38.150.188
2020-06-13 16:13:08,612 fail2ban.filter [1615]: INFO [dovecot] Found 212.70.149.2 - 2020-06-13 16:13:08 2020-06-13 16:13:10,358 fail2ban.filter [1615]: INFO [dovecot] Found 46.38.145.247 - 2020-06-13 16:13:10 2020-06-13 16:13:11,112 fail2ban.filter [1615]: INFO [dovecot] Found 46.38.150.188 - 2020-06-13 16:13:10
Und das zeigt mir, dass die Regeln nicht greifen:
2020-06-13 16:11:57,455 fail2ban.actions [1615]: WARNING [dovecot] 212.70.149.2 already banned
iptables -L
Chain f2b-dovecot (1 references) target prot opt source destination REJECT all -- 212.70.149.34 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.254 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.4 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.253 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.5 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.250 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.252 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.248 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.249 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.190 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.6 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.251 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.191 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.188 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.153 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.142 anywhere reject-with icmp-port-unreachable REJECT all -- net6-ip70.linkbg.com anywhere reject-with icmp-port-unreachable REJECT all -- 212.70.149.18 anywhere reject-with icmp-port-unreachable REJECT all -- 212.70.149.2 anywhere reject-with icmp-port-unreachable
Für mich sieht das soweit ok aus, nur die firewalld rejected nicht. Die Regeln sind vorhanden, oder wie siehst Du das?
Danke Andreas
Am Samstag, 13. Juni 2020, 16:16:19 CEST schrieb Andreas Ernst:
Chain f2b-dovecot (1 references)
[...]
Für mich sieht das soweit ok aus, nur die firewalld rejected nicht. Die Regeln sind vorhanden, oder wie siehst Du das?
Die f2b-dovecot chain existiert, aber wird die auch von den defaultregeln angesprungen?
Irgendwie sieht das bei mir alles ganz anders aus: in der Firewall selber gibt's nur eine regel pro jail, z.B. hier auf meinem nextcloud server: nextcloud:~ # iptables -nvL --line-numbers|grep f2b 1 40 2380 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable 2 730 37960 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 match-set f2b-wordpress-soft src reject-with icmp-port-unreachable 3 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 match-set f2b-wordpress-hard src reject-with icmp-port-unreachable
und fail2ban trägt dann die entsprechenden Adressen in die ipsets ein.
Ich denke Du solltest evtl. die aktuellen firewalld und fail2ban versionen aus den OBS repos installieren, und dann mal die konfiguration abklappern - z.B. sicherstellen dass fail2ban auch weiss dass es mit firewalld zusammenarbeiten muss, etc etc.
Cheers Mathias
Am 13.06.20 um 16:28 schrieb Mathias Homann:
Am Samstag, 13. Juni 2020, 16:16:19 CEST schrieb Andreas Ernst:
Chain f2b-dovecot (1 references)
[...]
Für mich sieht das soweit ok aus, nur die firewalld rejected nicht. Die Regeln sind vorhanden, oder wie siehst Du das?
Die f2b-dovecot chain existiert, aber wird die auch von den defaultregeln angesprungen?
Irgendwie sieht das bei mir alles ganz anders aus: in der Firewall selber gibt's nur eine regel pro jail, z.B. hier auf meinem nextcloud server: nextcloud:~ # iptables -nvL --line-numbers|grep f2b 1 40 2380 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22 match-set f2b-sshd src reject-with icmp-port-unreachable 2 730 37960 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 match-set f2b-wordpress-soft src reject-with icmp-port-unreachable 3 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 match-set f2b-wordpress-hard src reject-with icmp-port-unreachable
Bei mir sieht das so aus:
mail:/etc/fail2ban/ # iptables -nvL --line-numbers|grep f2b 1 149K 19M f2b-dovecot tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 110,995,143,993,587,587,2000 Chain f2b-dovecot (1 references)
und fail2ban trägt dann die entsprechenden Adressen in die ipsets ein.
Ich denke Du solltest evtl. die aktuellen firewalld und fail2ban versionen aus den OBS repos installieren, und dann mal die konfiguration abklappern - z.B. sicherstellen dass fail2ban auch weiss dass es mit firewalld zusammenarbeiten muss, etc etc.
Informationen zu Paket fail2ban: -------------------------------- Repository : Haupt-Repository (OSS)
Name : fail2ban
Version : 0.10.4-lp151.1.1
Arch : noarch
Anbieter : openSUSE
Installierte Größe : 1,3 MiB
Installiert : Ja
Status : aktuell
Quellpaket : fail2ban-0.10.4-lp151.1.1.src
Welches Repo meinst Du mit OBS? Ich verwende die Distributions Repos.
Hier die Ausgabe von:
mail:/etc/fail2ban # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination f2b-dovecot tcp -- anywhere anywhere multiport dports pop3,pop3s,imap,imaps,submission,submission,sieve ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere INPUT_direct all -- anywhere anywhere INPUT_ZONES_SOURCE all -- anywhere anywhere INPUT_ZONES all -- anywhere anywhere DROP all -- anywhere anywhere ctstate INVALID REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere FORWARD_direct all -- anywhere anywhere FORWARD_IN_ZONES_SOURCE all -- anywhere anywhere FORWARD_IN_ZONES all -- anywhere anywhere FORWARD_OUT_ZONES_SOURCE all -- anywhere anywhere FORWARD_OUT_ZONES all -- anywhere anywhere DROP all -- anywhere anywhere ctstate INVALID REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT) target prot opt source destination OUTPUT_direct all -- anywhere anywhere
Chain FORWARD_IN_ZONES (1 references) target prot opt source destination FWDI_public all -- anywhere anywhere [goto] FWDI_public all -- anywhere anywhere [goto]
Chain FORWARD_IN_ZONES_SOURCE (1 references) target prot opt source destination
Chain FORWARD_OUT_ZONES (1 references) target prot opt source destination FWDO_public all -- anywhere anywhere [goto] FWDO_public all -- anywhere anywhere [goto]
Chain FORWARD_OUT_ZONES_SOURCE (1 references) target prot opt source destination
Chain FORWARD_direct (1 references) target prot opt source destination
Chain FWDI_public (2 references) target prot opt source destination FWDI_public_log all -- anywhere anywhere FWDI_public_deny all -- anywhere anywhere FWDI_public_allow all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere
Chain FWDI_public_allow (1 references) target prot opt source destination
Chain FWDI_public_deny (1 references) target prot opt source destination
Chain FWDI_public_log (1 references) target prot opt source destination
Chain FWDO_public (2 references) target prot opt source destination FWDO_public_log all -- anywhere anywhere FWDO_public_deny all -- anywhere anywhere FWDO_public_allow all -- anywhere anywhere
Chain FWDO_public_allow (1 references) target prot opt source destination
Chain FWDO_public_deny (1 references) target prot opt source destination
Chain FWDO_public_log (1 references) target prot opt source destination
Chain INPUT_ZONES (1 references) target prot opt source destination IN_public all -- anywhere anywhere [goto] IN_public all -- anywhere anywhere [goto]
Chain INPUT_ZONES_SOURCE (1 references) target prot opt source destination
Chain INPUT_direct (1 references) target prot opt source destination
Chain IN_public (2 references) target prot opt source destination IN_public_log all -- anywhere anywhere IN_public_deny all -- anywhere anywhere IN_public_allow all -- anywhere anywhere ACCEPT icmp -- anywhere anywhere
Chain IN_public_allow (1 references) target prot opt source destination ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:http ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:https ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:bootps ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:domain ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:domain ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:imaps ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ldap ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:ldaps ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:mysql ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:ntp ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:netbios-ssn ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:microsoft-ds ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-ns ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:netbios-dgm ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:sip ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:sip ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:sip-tls ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:sip-tls ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:svrloc ctstate NEW ACCEPT udp -- anywhere anywhere udp dpt:svrloc ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:smtp ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:submission ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:sieve ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:appserv-http ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:57389 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:55389 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:54306 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:55306 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:57210 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:57200 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:54307 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:25565 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:57017 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:63701 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpt:63702 ctstate NEW ACCEPT tcp -- anywhere anywhere tcp dpts:55555:60000 ctstate NEW
Chain IN_public_deny (1 references) target prot opt source destination
Chain IN_public_log (1 references) target prot opt source destination
Chain OUTPUT_direct (1 references) target prot opt source destination
Chain f2b-dovecot (1 references) target prot opt source destination REJECT all -- 141.98.80.150 anywhere reject-with icmp-port-unreachable REJECT all -- 212.70.149.34 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.254 anywhere reject-with icmp-port-unreachable REJECT all -- 185.143.72.25 anywhere reject-with icmp-port-unreachable REJECT all -- 185.143.72.23 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.191 anywhere reject-with icmp-port-unreachable REJECT all -- net6-ip66.linkbg.com anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.4 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.253 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.5 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.250 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.252 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.248 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.249 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.190 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.6 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.145.251 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.188 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.153 anywhere reject-with icmp-port-unreachable REJECT all -- 46.38.150.142 anywhere reject-with icmp-port-unreachable REJECT all -- net6-ip70.linkbg.com anywhere reject-with icmp-port-unreachable REJECT all -- 212.70.149.18 anywhere reject-with icmp-port-unreachable REJECT all -- 212.70.149.2 anywhere reject-with icmp-port-unreachable RETURN all -- anywhere anywhere
Nach meinem Verständnis wird die Regel f2b-dovecot gezogen.
Grüße Andreas
Am Sonntag, 14. Juni 2020, 10:07:00 CEST schrieb Andreas Ernst:
Welches Repo meinst Du mit OBS? Ich verwende die Distributions Repos.
OBS = opensuse build service. Da werden die ganzen Pakete für alle openSUSE versionen gebaut, und da gibt es auch noch viel viel mehr an Software....
ABER: wenn Du noch nie mit zusätzlichen Repos vom OBS umgegangen bist ist jetzt garantiert der falsche Moment da einzusteigen, das kann nämlich durchaus haarig werden.
mail:/etc/fail2ban # iptables -L
Mach bitte noch mal ein iptables -nvL --line-numbers und pack die ausgabe dann irgendwo in einen pastebin oder github gist, der Zeilenumbruch beim versand per mail macht es nicht leichter ;)
Nach meinem Verständnis wird die Regel f2b-dovecot gezogen.
jein - ohne -v sieht man ja nicht ob das interface um das es dir geht überhaupt in die entsprechende chain sendet...
Cheers Mathias
Am 14.06.20 um 10:34 schrieb Mathias Homann:
Am Sonntag, 14. Juni 2020, 10:07:00 CEST schrieb Andreas Ernst:
Welches Repo meinst Du mit OBS? Ich verwende die Distributions Repos.
OBS = opensuse build service. Da werden die ganzen Pakete für alle openSUSE versionen gebaut, und da gibt es auch noch viel viel mehr an Software....
ABER: wenn Du noch nie mit zusätzlichen Repos vom OBS umgegangen bist ist jetzt garantiert der falsche Moment da einzusteigen, das kann nämlich durchaus haarig werden.
mail:/etc/fail2ban # iptables -L
Mach bitte noch mal ein iptables -nvL --line-numbers und pack die ausgabe dann irgendwo in einen pastebin oder github gist, der Zeilenumbruch beim versand per mail macht es nicht leichter ;)
Nach meinem Verständnis wird die Regel f2b-dovecot gezogen.
jein - ohne -v sieht man ja nicht ob das interface um das es dir geht überhaupt in die entsprechende chain sendet...
Am Sonntag, 14. Juni 2020, 10:44:40 CEST schrieb Andreas Ernst:
Am 14.06.20 um 10:34 schrieb Mathias Homann:
jein - ohne -v sieht man ja nicht ob das interface um das es dir geht überhaupt in die entsprechende chain sendet...
Das sieht für mich eigentlich alles ok aus... Wie wichtig sind die Systeme um die es dir geht? Sprich, wie gross ist die Katasptrophe falls wir mit zusätzlichen Repositories anfangen und damit auf die Fresse fallen?
Cheers Mathias
Hi,
Am 14.06.20 um 11:27 schrieb Mathias Homann:
Am Sonntag, 14. Juni 2020, 10:44:40 CEST schrieb Andreas Ernst:
Am 14.06.20 um 10:34 schrieb Mathias Homann:
jein - ohne -v sieht man ja nicht ob das interface um das es dir geht überhaupt in die entsprechende chain sendet...
Das sieht für mich eigentlich alles ok aus... Wie wichtig sind die Systeme um die es dir geht? Sprich, wie gross ist die Katasptrophe falls wir mit zusätzlichen Repositories anfangen und damit auf die Fresse fallen?
ich greife dieses Thema noch einmal auf. Nochmals danke für Deine Hilfe.
Ich hatte mich immer mal wieder mit dem Thema beschäftigt. Den BugReport https://bugzilla.opensuse.org/show_bug.cgi?id=1170207 habe ich geschlossen.
Es liegt nicht an der FirewallD. Das Fail2Ban Paket hat die Umstellung von der Suse Firewall2 nach FirewallD korrekt umgesetzt. Selbst Löschen und erneutes Installieren von Fail2Ban hilft nicht.
Das Paket scheint im Moment keinen Maintainer zu haben:
https://bugzilla.opensuse.org/show_bug.cgi?id=1146856
Ich habe für fail2ban einen neuen aufgemacht:
https://bugzilla.opensuse.org/show_bug.cgi?id=1180738
Grüße Andreas
-
Andreas Ernst -
Mathias Homann -
Matthias Fehring