Cómo desbancar una IP correctamente con Fail2Ban

Estoy usando Fail2Ban en un servidor y me pregunto cómo desbloquear una IP correctamente.

Sé que puedo trabajar con IPTables directamente: iptables -D fail2ban-ssh <number>

¿Pero no hay una manera de hacerlo con el fail2ban-client?

En los manuales se dice algo así como: fail2ban-client get ssh actionunban <IP>. Pero eso no funciona.

Además, no quiero, /etc/init.d/fail2ban restartya que eso perdería todas las prohibiciones en la lista.

Con Fail2Ban antes de v0.8.8:

fail2ban-client get YOURJAILNAMEHERE actionunban IPADDRESSHERE

Con Fail2Ban v0.8.8 y posterior:

fail2ban-client set YOURJAILNAMEHERE unbanip IPADDRESSHERE

La parte difícil es encontrar la cárcel correcta:

1. Use iptables -L -npara encontrar el nombre de la regla ...
2. ... luego se usa fail2ban-client statuspara obtener los nombres reales de la cárcel. El nombre de la regla y el nombre de la cárcel pueden no ser los mismos, pero debe quedar claro cuál está relacionado con cada uno.

Desde v0.8.8 existe la unbanipopción ( actionunbanno es para este propósito) Puede ser activada por el setcomando, si observa la lista de opciones, verá que la sintaxis es. Entonces será (de memoria, por favor verifique):

fail2ban-client set ssh-iptables unbanip IPADDRESSHERE 

más genérico:

fail2ban-client set JAILNAMEHERE unbanip IPADDRESSHERE

funciona para mi

Ejemplo para SSH en modo interactivo.

escriba bash:

fail2ban-client -i

luego, en modo interactivo, lea el estado de una cárcel:

status sshd

obtendrás:

Status for the jail: ssh
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 6
|  `- File list:    /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned: 2
   `- Banned IP list:   203.113.167.162

luego escriba en el modo interactivo fail2ban:

set sshd unbanip 203.113.167.162

obtendrás:

203.113.167.162

significa que ya no está 203.113.167.162en la lista de prohibición.

La respuesta de ukoda es incorrecta:

Llame fail2ban-clientsin parámetros y verá una lista de posibles comandos:

get JAIL actionunban ACT             

Esto obtiene el comando unban para la acción ACT for JAIL.

Mire el parámetro de acción de la cárcel que definió, probablemente tenga una acción de iptables y tal vez algo más como sendmail, whois o lo que sea. así que en caso de que su acción fuera iptables se verá así:

fail2ban-client get JAIL actionunban iptables

y la respuesta será:

iptables -D fail2ban-NAME -s IP -j DROP

Solo le mostrará lo que tendría que escribir para un unban. No hay un comando unban en sí mismo.

Si 192.168.2.1 está prohibido

sudo iptables -L

Compruebe en qué cadena está prohibido, por ejemplo

Chain fail2ban-sasl (1 referencias)

DROP all: 192.168.2.1 en cualquier lugar

Entonces:

# to view the proper command for un-banning
sudo fail2ban-client get sasl actionunban
# actual command
iptables -D fail2ban-sasl -s 192.168.2.1 -j DROP

Primero debes obtener el nombre de la cárcel. Puede obtener la lista (en la mayoría de los casos será solo la cárcel ssh):

fail2ban-client status

Después de obtener el nombre de la cárcel, puede verificar qué IP se ignoran.

fail2ban-client get ssh ignoreip

Si su IP está en la lista de ignorados, puede eliminarla mediante:

fail2ban-client set ssh delignoreip your_ip_address
vi /etc/hosts.deny

Elimine su entrada de host:

fail2ban-client reload

Usando fail2ban v.0.8.6:

$ sudo fail2ban-client status # to reveal your JAIL name (mine is ssh)
$ sudo fail2ban-client set ssh delignoreip your_ip_address
$ sudo nano /etc/hosts.deny # delete your ip address
$ sudo fail2ban-client reload

desafortunadamente con la versión 0.8.2 de fail2ban-client el comando:

fail2ban-client get jail actionunban ipaddress

no corre Para resolver el problema, la mejor opción es actualizar fail2ban a la última versión y usar una nueva opción:

unbanip

fail2ban-client set sshd unbanip ip_here

trabajaría.

Si una IP está en varias cárceles, esto se convierte en un dolor.

one-liner para eliminar 192.168.1.2 de todas las cárceles:

 for jail in $(fail2ban-client status | grep 'Jail list:' | sed 's/.*Jail list://' | sed 's/,//g'); do fail2ban-client set $jail unbanip 192.168.1.2; done

un script para hacer lo mismo https://gist.github.com/yolabingo/c810db6fe7f8bfcb9eb4f6ffc531e474

Si está ejecutando la versión v0.10.2:

sudo fail2ban-client unban YOUR_IP_ADDRESS

Esto es de ayuda:

unban <IP> ... <IP> unbans <IP> (in all jails and database)

Confirmé que funcionaba en mi caso cuando lo más probable es que me hayan prohibido debido a que el cliente ssh inició sesión repetidamente con una contraseña incorrecta.