hokaido
Goto Top

Fail2Ban Regel um alle Ports zu kontrollieren

Hallo,

habe bisher meinen (nicht Port 22) SSH Port mit Fail2Ban abgesichert. Server hat SSH Key, Passwort und 2 FA. Also bereits sehr sicher. In letzter Zeit wird aber massiv versucht durch Abklappern aller Ports reinzukommen (alleine gestern von einer IP 19000 Versuche).

Kann ich mit Fail2Ban auch alle Ports blocken?
Hat jemand einen Tipp für die entsprechende Regel und die korrekte Filter Datei in filter.d?

Danke

Christian

Content-ID: 1123543355

Url: https://administrator.de/forum/fail2ban-regel-um-alle-ports-zu-kontrollieren-1123543355.html

Ausgedruckt am: 21.12.2024 um 13:12 Uhr

126231
126231 04.08.2021 um 23:44:24 Uhr
Goto Top
Servus!
Was willst du denn blocken, wenn der Port gar nicht offen ist face-wink

Ansonsten versteh ich die Frage nicht...

Gruß
Luigi
148848
148848 05.08.2021 aktualisiert um 00:49:36 Uhr
Goto Top
Moin,

In letzter Zeit wird aber massiv versucht durch Abklappern aller Ports reinzukommen (alleine gestern von einer IP 19000 Versuche).

Das ist das übliche Grundrauschen im Internet und ist somit erstmals nichts ungewöhnliches.

Kann ich mit Fail2Ban auch alle Ports blocken?

Mit Fail2ban schon mal gar nicht, sowas macht man wenn dann via iptables. Bitter erkundige dich daher nochmals, was Fail2Ban macht. Und was iptables angeht...üblicherweiße betreibt man eine Firewall im Whitelist Modus, d.h. es wird alles geblockt was man nicht explizit freischaltet.

Das ist aber Grundlagenwissen was man als Serverbetreiber, inbesondere von Servern direkt am Netz, dringend vorhab haben sollte. Andernfalls kann es sehr gefährlich werden....

MfG
HanTrio
HanTrio 05.08.2021 um 08:01:10 Uhr
Goto Top
fail2ban ist dafür ungeeignet - wie der Name schon sagt, das Teil nimmt failed (!) Login-Versuche als Basis für eine temporäre Anpassung der iptables-Regeln.
Bei port scans wird jedoch (noch) kein Login versucht, sondern eben nur ein Check durchgeführt "ist Port X erreichbar / offen".

Hier ist ein Ansatz, wie man Port Scans mit iptables custom rules einschränken / verhindern kann:
https://meterpreter.org/how-to-prevent-port-scan-in-linux/
-> hier: mehr als 10 Ports in 60 Sek.

Wenn du Script-Kiddies ein wenig ärgern willst, die dein SSH bruteforcen wollen (speziell wenn es, wie bei dir, nicht auf standard Port 22 läuft), kannst du dir das hier mal anschauen:
https://www.linuxlinks.com/endlessh-ssh-tarpit/
bzw.
https://github.com/skeeto/endlessh
-> Endlos-Schleife bei Login-Versuch auf Port 22 (das hat dann aber nichts mehr mit Port Scans zu tun, sondern eben mit Login-Versuchen)

Sei dir jedoch bewusst, dass das alles ein wenig Load verursachen kann (genau wie fail2ban auch), da das alles ständig im Hintergrund überprüft wird.

Ansonsten kann ich die Aussage von Xcoder bestätigen: das ist völlig normal. Es sind ständig Scanner unterwegs, die den lieben langen Tag nichts Anderes tun, als immer wieder IP ranges abzufarmen.

Du hast nun einmal eine öffentlich erreichbare IP-Adresse + offene Ports, denn du WILLST ja auch, dass diese erreichbar sind.
Schließlich kannst du auch nicht verhindern, dass Jemand an deinem Wohnsitz vorbeifährt und sich da einfach mal kurz umschaut ;)
Der wird halt auch sehen "oh ja, da sind also eine Tür, 2 Fenster und ein Kellereingang". Interessant wird es erst, wenn er versucht reinzukommen und dann merkt "hmm verschlossen".