Fail2Ban Regel um alle Ports zu kontrollieren

Hallo,

habe bisher meinen (nicht Port 22) SSH Port mit Fail2Ban abgesichert. Server hat SSH Key, Passwort und 2 FA. Also bereits sehr sicher. In letzter Zeit wird aber massiv versucht durch Abklappern aller Ports reinzukommen (alleine gestern von einer IP 19000 Versuche).

Kann ich mit Fail2Ban auch alle Ports blocken?
Hat jemand einen Tipp für die entsprechende Regel und die korrekte Filter Datei in filter.d?

Danke

Christian

Content-Key: 1123543355

Url: https://administrator.de/contentid/1123543355

Ausgedruckt am: 21.09.2021 um 02:09 Uhr

Mitglied: papa-luigi
papa-luigi 04.08.2021 um 23:44:24 Uhr
Goto Top
Servus!
Was willst du denn blocken, wenn der Port gar nicht offen ist ;-) face-wink

Ansonsten versteh ich die Frage nicht...

Gruß
Luigi
Mitglied: Xcoder
Xcoder 05.08.2021 aktualisiert um 00:49:36 Uhr
Goto Top
Moin,

In letzter Zeit wird aber massiv versucht durch Abklappern aller Ports reinzukommen (alleine gestern von einer IP 19000 Versuche).

Das ist das übliche Grundrauschen im Internet und ist somit erstmals nichts ungewöhnliches.

Kann ich mit Fail2Ban auch alle Ports blocken?

Mit Fail2ban schon mal gar nicht, sowas macht man wenn dann via iptables. Bitter erkundige dich daher nochmals, was Fail2Ban macht. Und was iptables angeht...üblicherweiße betreibt man eine Firewall im Whitelist Modus, d.h. es wird alles geblockt was man nicht explizit freischaltet.

Das ist aber Grundlagenwissen was man als Serverbetreiber, inbesondere von Servern direkt am Netz, dringend vorhab haben sollte. Andernfalls kann es sehr gefährlich werden....

MfG
Mitglied: HanTrio
HanTrio 05.08.2021 um 08:01:10 Uhr
Goto Top
fail2ban ist dafür ungeeignet - wie der Name schon sagt, das Teil nimmt failed (!) Login-Versuche als Basis für eine temporäre Anpassung der iptables-Regeln.
Bei port scans wird jedoch (noch) kein Login versucht, sondern eben nur ein Check durchgeführt "ist Port X erreichbar / offen".

Hier ist ein Ansatz, wie man Port Scans mit iptables custom rules einschränken / verhindern kann:
https://meterpreter.org/how-to-prevent-port-scan-in-linux/
-> hier: mehr als 10 Ports in 60 Sek.

Wenn du Script-Kiddies ein wenig ärgern willst, die dein SSH bruteforcen wollen (speziell wenn es, wie bei dir, nicht auf standard Port 22 läuft), kannst du dir das hier mal anschauen:
https://www.linuxlinks.com/endlessh-ssh-tarpit/
bzw.
https://github.com/skeeto/endlessh
-> Endlos-Schleife bei Login-Versuch auf Port 22 (das hat dann aber nichts mehr mit Port Scans zu tun, sondern eben mit Login-Versuchen)

Sei dir jedoch bewusst, dass das alles ein wenig Load verursachen kann (genau wie fail2ban auch), da das alles ständig im Hintergrund überprüft wird.

Ansonsten kann ich die Aussage von Xcoder bestätigen: das ist völlig normal. Es sind ständig Scanner unterwegs, die den lieben langen Tag nichts Anderes tun, als immer wieder IP ranges abzufarmen.

Du hast nun einmal eine öffentlich erreichbare IP-Adresse + offene Ports, denn du WILLST ja auch, dass diese erreichbar sind.
Schließlich kannst du auch nicht verhindern, dass Jemand an deinem Wohnsitz vorbeifährt und sich da einfach mal kurz umschaut ;)
Der wird halt auch sehen "oh ja, da sind also eine Tür, 2 Fenster und ein Kellereingang". Interessant wird es erst, wenn er versucht reinzukommen und dann merkt "hmm verschlossen".
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 21 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...