staging.inyokaproject.org

Ich will meinen Server jetzt etwas härten gegen äußere Attacken. Mich nerven z.B. die ständigen mailserver Verbindungsversuche von immer den selben IP Adressen.

Da gibt es doch bestimmt ein Tool, was die IP-adressen loggt und wenn eine Adresse mehr als zweimal einen Fehlzugriff macht, sollte sie in den Firewall eingetragen werden und damit außen vorbleiben.

Was gibt es da für Strategien?

Fail2Ban wäre das das Stichwort.

DJKUhpisse schrieb:

Fail2Ban wäre das das Stichwort.

Habe fail2ban installiert und nach dieser Anleitung (https://www.howtoforge.de/anleitung/so-installierst-und-konfigurierst-du-fail2ban-unter-ubuntu-22-04/) konfiguriert. (Frage: wie verlinkt man hier im Editor einen externen Link? Normalerweise bekommt man ein Fenster, wo man einen Link eintragen kann).

Wenn ich mir ufw status oder iptables -L anschaue, sehe ich bisher eine gebannte IP (REJECT), und ich sehe noch einen alten Eintrag von mir, den ich mal händisch mit ufw gemacht hatte. Kann ich den "flushen"? Ich würde gerne alles alte raushaben und sozusagen "frisch" starten.

1
2
3
4
5

iptables -L | grep reject  gibt mir:


REJECT     all  --  1xx.1yy.zz.222       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable

Würde eigentlich nach ein paar Stunden schon mehr erwarten. Ich habe außerdem TCP-Wrapper (/etc/hosts.allow) aktiviert. Stört daß oder kommt fail2ban damit klar?