Vážím si vašeho soukromí

Soubory cookie používáme k vylepšení vašeho zážitku z prohlížení, zobrazování personalizovaných reklam nebo obsahu a k analýze naší návštěvnosti. Kliknutím na „Přijmout vše“ souhlasíte s naším používáním souborů cookie.

Přizpůsobte předvolby souhlasu

Soubory cookie používáme, abychom vám pomohli efektivně se pohybovat a provádět určité funkce. Níže naleznete podrobné informace o všech souborech cookie v každé kategorii souhlasu.

Soubory cookie, které jsou kategorizovány jako „Nezbytné“, jsou uloženy ve vašem prohlížeči, protože jsou nezbytné pro umožnění základních funkcí webu.... 

Vždy aktivní

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

Žádné soubory cookie k zobrazení.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

Žádné soubory cookie k zobrazení.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

Žádné soubory cookie k zobrazení.

Performance cookies are used to understand and analyse the key performance indexes of the website which helps in delivering a better user experience for the visitors.

Žádné soubory cookie k zobrazení.

Advertisement cookies are used to provide visitors with customised advertisements based on the pages you visited previously and to analyse the effectiveness of the ad campaigns.

Žádné soubory cookie k zobrazení.

So. Dub 5th, 2025 8:04:16 PM

kvalitninavody.cz

Tutorials, Linux, Virtualizace, KVM, Mikrotik, Hardware i Retro

Linux

Fail2ban default action drop místo reject with icmp-port-unreachable (debian 11)

Avatar

Bymirra

Úno 4, 2022 #debian11, #drop instead reject, #fail2ban, #fail2ban drop, #fail2ban reject, #iptables, #iptables drop fail2ban, #iptables reject fail2ban, #linux, #linux fail2ban

Fakt nechápu, proč autoři fail2banu udělali takovou hloupost, když nechali v konfiguračních souborech v defaultu aktivní REJECT, kdy server, který vám zablokoval přístup, vám ještě hloupě vyzradí, že se na něj nedostanete, přičemž mu defakto pomáháte dělat jeho práci. Setkáte se s mnoha diskusemi napříč internetem, kde nadávají všichni provozovatelé serverů, s vystaveným SSH ven do světa. Nicméně dovedu si představit use case, u kterého autoři zamýšleli, že jim stačí jen REJECT. Každopádně kdo máte SSH i na nestandardním portu vystavený do internetu moc dobře víte, že jedině DROP je to řešení pro vás. A pro ty z vás tu je tento rychlonávod.

v /etc/fail2ban/action.d/iptables-common.conf zakomentujte blocktype = REJECT a pod něj vložte blocktype = DROP

#blocktype = REJECT --reject-with icmp-port-unreachable
blocktype = DROP


#Pak už jen
systemctl restart fail2ban
systemctl status fail2ban

V tu chvíli po zadání iptables -L -vn uvidíte

Místo:

Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination
   19  1508 REJECT     all  --  *      *       14.63.185.80         0.0.0.0/0            reject-with icmp-port-unreachable
   17  1252 REJECT     all  --  *      *       164.52.89.94         0.0.0.0/0            reject-with icmp-port-unreachable
    1    60 REJECT     all  --  *      *       81.182.254.124       0.0.0.0/0            reject-with icmp-port-unreachable
   16  1224 REJECT     all  --  *      *       106.12.179.119       0.0.0.0/0            reject-with icmp-port-unreachable
   18  1312 REJECT     all  --  *      *       36.91.119.221        0.0.0.0/0            reject-with icmp-port-unreachable
   15  1064 REJECT     all  --  *      *       43.154.120.54        0.0.0.0/0            reject-with icmp-port-unreachable
   16  1232 REJECT     all  --  *      *       118.97.167.77        0.0.0.0/0            reject-with icmp-port-unreachable
    2   120 REJECT     all  --  *      *       43.135.166.247       0.0.0.0/0            reject-with icmp-port-unreachable
   17  1292 REJECT     all  --  *      *       218.111.170.212      0.0.0.0/0            reject-with icmp-port-unreachable
   17  1248 REJECT     all  --  *      *       82.156.249.184       0.0.0.0/0            reject-with icmp-port-unreachable
   16  1232 REJECT     all  --  *      *       180.101.202.30       0.0.0.0/0            reject-with icmp-port-unreachable
   19  1372 REJECT     all  --  *      *       159.65.3.24          0.0.0.0/0            reject-with icmp-port-unreachable
   19  1352 REJECT     all  --  *      *       162.241.94.40        0.0.0.0/0            reject-with icmp-port-unreachable
   18  1312 REJECT     all  --  *      *       149.129.41.70        0.0.0.0/0            reject-with icmp-port-unreachable
   13   916 REJECT     all  --  *      *       82.156.19.49         0.0.0.0/0            reject-with icmp-port-unreachable
    6   360 REJECT     all  --  *      *       107.170.131.23       0.0.0.0/0            reject-with icmp-port-unreachable
   36  2432 REJECT     all  --  *      *       194.62.43.199        0.0.0.0/0            reject-with icmp-port-unreachable
   22  1592 REJECT     all  --  *      *       201.226.239.98       0.0.0.0/0            reject-with icmp-port-unreachable
   25  1772 REJECT     all  --  *      *       118.69.225.138       0.0.0.0/0            reject-with icmp-port-unreachable
   34  2320 REJECT     all  --  *      *       5.255.98.101         0.0.0.0/0            reject-with icmp-port-unreachable
   31  2180 REJECT     all  --  *      *       68.183.216.38        0.0.0.0/0            reject-with icmp-port-unreachable
   15   900 REJECT     all  --  *      *       121.1.248.95         0.0.0.0/0            reject-with icmp-port-unreachable
   25  1780 REJECT     all  --  *      *       37.139.5.94          0.0.0.0/0            reject-with icmp-port-unreachable
   22  1552 REJECT     all  --  *      *       43.254.156.42        0.0.0.0/0            reject-with icmp-port-unreachable
   30  1800 REJECT     all  --  *      *       163.53.247.47        0.0.0.0/0            reject-with icmp-port-unreachable
   27  1784 REJECT     all  --  *      *       110.35.173.103       0.0.0.0/0            reject-with icmp-port-unreachable
   29  2012 REJECT     all  --  *      *       72.167.55.58         0.0.0.0/0            reject-with icmp-port-unreachable
   29  1952 REJECT     all  --  *      *       198.199.94.78        0.0.0.0/0            reject-with icmp-port-unreachable
   25  1732 REJECT     all  --  *      *       152.32.129.20        0.0.0.0/0            reject-with icmp-port-unreachable
   21  1500 REJECT     all  --  *      *       218.56.160.82        0.0.0.0/0            reject-with icmp-port-unreachable
   31  2132 REJECT     all  --  *      *       130.185.76.24        0.0.0.0/0            reject-with icmp-port-unreachable
    1    60 REJECT     all  --  *      *       190.15.222.52        0.0.0.0/0            reject-with icmp-port-unreachable
    5   300 REJECT     all  --  *      *       190.129.60.125       0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       119.65.149.106       0.0.0.0/0            reject-with icmp-port-unreachable

Reject se změní na DROP 🙂 

Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  *      *       82.156.249.184       0.0.0.0/0
    0     0 DROP       all  --  *      *       82.156.19.49         0.0.0.0/0
    0     0 DROP       all  --  *      *       81.182.254.124       0.0.0.0/0
    0     0 DROP       all  --  *      *       72.167.55.58         0.0.0.0/0
    0     0 DROP       all  --  *      *       68.183.216.38        0.0.0.0/0
    0     0 DROP       all  --  *      *       5.255.98.101         0.0.0.0/0
    0     0 DROP       all  --  *      *       43.254.156.42        0.0.0.0/0
    0     0 DROP       all  --  *      *       43.154.120.54        0.0.0.0/0
    0     0 DROP       all  --  *      *       43.135.166.247       0.0.0.0/0
    0     0 DROP       all  --  *      *       37.139.5.94          0.0.0.0/0
    0     0 DROP       all  --  *      *       36.91.119.221        0.0.0.0/0
    0     0 DROP       all  --  *      *       218.56.160.82        0.0.0.0/0
    0     0 DROP       all  --  *      *       218.111.170.212      0.0.0.0/0
    0     0 DROP       all  --  *      *       201.226.239.98       0.0.0.0/0
    0     0 DROP       all  --  *      *       198.199.94.78        0.0.0.0/0
    0     0 DROP       all  --  *      *       194.62.43.199        0.0.0.0/0
    0     0 DROP       all  --  *      *       190.15.222.52        0.0.0.0/0
    0     0 DROP       all  --  *      *       190.129.60.125       0.0.0.0/0
    0     0 DROP       all  --  *      *       180.101.202.30       0.0.0.0/0
    0     0 DROP       all  --  *      *       164.52.89.94         0.0.0.0/0
    0     0 DROP       all  --  *      *       163.53.247.47        0.0.0.0/0
    0     0 DROP       all  --  *      *       162.241.94.40        0.0.0.0/0
    0     0 DROP       all  --  *      *       159.65.3.24          0.0.0.0/0
    0     0 DROP       all  --  *      *       152.32.129.20        0.0.0.0/0
    0     0 DROP       all  --  *      *       149.129.41.70        0.0.0.0/0
    0     0 DROP       all  --  *      *       14.63.185.80         0.0.0.0/0
    0     0 DROP       all  --  *      *       130.185.76.24        0.0.0.0/0
    0     0 DROP       all  --  *      *       121.1.248.95         0.0.0.0/0
    0     0 DROP       all  --  *      *       119.65.149.106       0.0.0.0/0
    0     0 DROP       all  --  *      *       118.97.167.77        0.0.0.0/0
    0     0 DROP       all  --  *      *       118.69.225.138       0.0.0.0/0
    0     0 DROP       all  --  *      *       110.35.173.103       0.0.0.0/0
    0     0 DROP       all  --  *      *       107.170.131.23       0.0.0.0/0
    0     0 DROP       all  --  *      *       106.12.179.119       0.0.0.0/0

zdroj

Avatar

By mirra

Hardwaru a počítačům se věnuji již od roku 2003. Za tu dobu jsem poskládal stovky počítačů, opravil tisíce počítačů a vyřešil nespočetně problémů, vad a chyb, se kterými se setkávali uživatelé. Od roku 2005 se zabývám servery, zejména těmi herními, v roce 2007 jsem se začal věnovat Valve Source SDK level designu, který šel od roku 2009 k ledu kvůli studiu Informatiky na univerzitě. Podílel jsem se chvíli i na provozu síťové laboratoře MENDELU, dnes spravuji v jedné osobě cca 100 serverů/diskových polí na univerzitě, řeším IT v malých a středních firmách tak, aby firmy ušetřily nemalé částky při zlepšení kvality a soustředím se na snižování nákladů na IT od licencí až po hardware, software, provádím konsolidace a audity platnosti licencí, které firmám šetří rovněž nemalé peníze. Z velkých firem jsem měl příležitost s dalšími kolegy řešit správu 8000 serverů po celé západní Evropě s vysokou mírou automatizace a poznávání nejrůznějších evropských pracovních mentalit. Dále jsem řešil hybridní cloud ve velké firmě, orientované na trhy střední a východní Evropy. Posledních několik let se věnuji Devops pro velké zákazníky v Azure cloudu, spravuji kubernetes (AKS), Gitlab.

Related Post

Linux

Dell Perc H700 a rozběh MegaCLI utility na ubuntu-server 22.04 LTS

Bře 27, 2025 mirra
Linux

Když Nextcloud updater selže – automatizovaný upgrade skriptem

Bře 20, 2025 mirra
Linux

Debian 12 a raid-z2 se 4 připojenými SATA3 HDD

Úno 20, 2025 mirra

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

You missed

Virtualizace

Epicky zaseknutý Proxmox VE – jak ho restartovat, když nejde restartovat

3.4.2025 mirra
Linux

Dell Perc H700 a rozběh MegaCLI utility na ubuntu-server 22.04 LTS

27.3.2025 mirra
Linux

Když Nextcloud updater selže – automatizovaný upgrade skriptem

20.3.2025 mirra
Windows

Jak promazat neaktivní uživatele Windows starších než 90 dní od posledního přihlášení bez smazání admin či jiných důležitých účtů

13.3.2025 mirra