fail2ban mit IPv6

IPv6 verbreitet sich immer mehr. Leider nehmen auch die BruteFroce Angriffe zu. Wer jetzt fail2ban mit IPv6 Unterstützung Out of the Box nutzen möchte, derjenige kann jetzt zur aktuellen fail2ban Version v0.11.0.dev2 greifen.

Mein Beispiel bezieht sich auf Debian8/9. Unter Debian7 gibt es Probleme mit iptables Parametern, wie z.B. wird “-w” nicht unterstützt.

Alte fail2ban Version vom System entfernen

apt-get purge fail2ban

Bitte beachten das alle Scripte und Einstellungen von fail2ban entfernt werden. Dies ist notwendig, damit es nicht zu Überschneidungen kommt. Fail2ban nutzt in der Neuen Version teilweise auch einen anderen Syntax.

Benötigte Pakete installieren

apt-get update && apt-get install python git gamin

Neue Fail2ban Version von Github besorgen

git clone https://github.com/fail2ban/fail2ban.git

Fail2ban installieren

Ins runtergeladene Verzeichnis wechseln:

cd fail2ban

Mit Python fail2ban installieren:

python setup.py install

systemd Script kopieren:

cp files/fail2ban.service /etc/systemd/system/

systemd Script anpassen:

nano /etc/systemd/system/fail2ban.service

In der Sektion [Service] die Pfade zu den Scripen ändern:

von …/usr/bin/… zu …/usr/local/bin/…

Entgegen der Anleitung auf Github liegen die Scripte in /usr/local/bin. Testen kann man das so:

ls -l /usr/local/bin/fail2*

jail.conf anpassen:

nano /etc/fail2ban/jail.conf

Beipiel für SSH


[sshd]

enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

Mehrere Ports angeben:

port = ssh,222

Fail2ban starten:

systemctl start fail2ban

Fail2ban Status:

systemctl status fail2ban

Jetzt sollte alles wie gewohnt funkionieren und in der Firewall unter iptables und ip6tables die Chain f2b-sshd auftauchen.

Fail2ban in Verbindung mit Firewall Script

Fail2ban kommt leider immer mit eigenen Firewall Scripen in die Quere. Fail2ban muss nach dem die Firewall geladen ist, starten.

Den Autostart von Fail2ban deaktivieren:

systemctl disable fail2ban

Überprüfen kann man das so:

systemctl is-enabled fail2ban

Muss dann disable angezeigt werden.

In /etc/systemd/system/multi-user.target.wants/ dürfen auch keine Symlinks zu /etc/systemd/system/fail2ban.service existieren!

In der Regel kommen bei Erstinstallation im darüber genannten Fall keine Symlinks vor.

Wer die Fail2ban Version schon ausgiebig genutzt hat, kann gerne ein paar Erfahrungen in die Kommentare schreiben.

Check Also

OpenVPN im DualStack Betrieb

Wie man OpenVPN im DualStack IPv4/IPv6 parallel betreibt Mit der OpenVPN Version 2.4 und höher ...

2 Kommentare

  1. Hi,

    lokale, nicht über die Paketverwaltung installierte systemd-Units sollte man besser nach /etc/systemd/system/ packen. Sagt der Standard.

    Gruß
    killermoehre

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Lars Pilawski hat 4,74 von 5 Sternen 969 Bewertungen auf ProvenExpert.com