Fail2Ban: bloquear una IP permanentemente

agosto 30, 2014
1 Star2 Stars3 Stars4 Stars5 Stars (1 votos, promedio: 5,00 de 5)
Cargando…

Ya hemos hablado en otras ocasiones de Fail2Ban, pero por si no lo conozcais todavía, Fail2Ban es una herramienta muy útil y fácil de usar que permite bloquear direcciones IP cuando alguién o algo está intentando acceder a algún servicio de tu servidor mediante un ataque de fuerza bruta.

Supongamos que no quieres aplicar un bloqueo permanente como regla general (porque esto sería posible, estableciendo el parámtro bantime a -1 en el filtro relativo del fichero jail.conf).
Supongamos que ves una IP infractora que se está continuamente bloqueando pero en cuanto fail2ban la desbloquea lo sigue intentando.
Supongamos que no quieres verla más!

Un método sencillo para bloquear permanentemente una IP, es añadir la siguiente linea de código en la regla “actionstart” (las acciones utilizadas cuando fail2ban empieza o reinicia):

cat /etc/fail2ban/ip.blacklist | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done

en el fichero de configuración utilizado como acción de bloqueo por defecto. Por ejemplo, si tue acción de bloqueo por defecto es “iptables-multiport” (de hecho la acción por defecto) tendrás que añadir la linea anterior en el archivo de configuración:

/etc/fail2ban/action.d/iptables-multiport.conf

Después de esto, tendrás que añadir manualmente las IPs infractoras, una por linea, en el fichero que tendrás que crear la primera vez:

/etc/fail2ban/ip.blacklist

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *