fail2ban: Unblock

Mit fail2ban können Logfileeinträge auf Unregelmäßigkeiten hin überwacht werden. Tritt ein definiertes Ereignis ein kann fail2ban darauf mit einer iptables-Regel antworten.

fail2ban blockt standardmäßig auf allen meinen Servern zwischen einer Stunde und einer Woche alle auffälligen Zugriffe. Erfolgt ein solcher Block fälschlicherweise oder soll er zu Testzwecken aufgehoben werden ist dies aber sehr einfach möglich.Zunächst verschafft man sich einen Überblick über die derzeit geblockten Hosts:

iptables -L --line-numbers

Der Output sollte wie folgt aussehen:

root@pdc:~# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp 
2    fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh 
3    fail2ban-ssh-ddos  tcp  --  anywhere             anywhere            multiport dports ssh 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain fail2ban-postfix (1 references)
num  target     prot opt source               destination         
1    DROP       all  --  node6.gecad.com      anywhere            
2    DROP       all  --  www.no-ip.com        anywhere            
3    RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh (1 references)
num  target     prot opt source               destination         
1    RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh-ddos (1 references)
num  target     prot opt source               destination         
1    RETURN     all  --  anywhere             anywhere       

Anhand der Chain lässt sich erkennen, warum der Block vorgenommen wurde. fail2ban-postfix sperrt z.B. wenn ein einliefernder Mailserver unseren Mailserver innerhalb von 60 Minuten mehr als 5 Mal als Relay verwenden will und hierzu nicht berechtigt ist.

Soll nun der www.no-ip.com Mailserver entsperrt werden geht dies wie folgt:

iptables -D fail2ban-postfix 2

Das fail2ban-postfix gibt hier die entsprechende Chain an und die 2 steht für www.no-ip.com (chain-number).

Ein erneuter Aufruf von iptables -L sollte folgendes zurückliefern:

root@pdc:~# iptables -L --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    fail2ban-postfix  tcp  --  anywhere             anywhere            multiport dports smtp,ssmtp 
2    fail2ban-ssh  tcp  --  anywhere             anywhere            multiport dports ssh 
3    fail2ban-ssh-ddos  tcp  --  anywhere             anywhere            multiport dports ssh 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain fail2ban-postfix (1 references)
num  target     prot opt source               destination         
1    DROP       all  --  node6.gecad.com      anywhere            
2    RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh (1 references)
num  target     prot opt source               destination         
1    RETURN     all  --  anywhere             anywhere            

Chain fail2ban-ssh-ddos (1 references)
num  target     prot opt source               destination         
1    RETURN     all  --  anywhere             anywhere