Fail2ban : ban mais serveur toujours joignable

yatta · Mars 1, 2023, 11:58am

Bonsoir,

Je coince sur fail2ban et je ne comprends pas le comportement.
J’ai mis en place 2 jails pour gitlab, http et ssh.
la première basé sur /etc/fail2ban/filter.d/gitlab.conf et qui fonctionne
la seconde basé Using fail2ban with Gitlab in Docker - j3ff.org semble fonctionné mais j’ai toujours accès

Chain f2b-gitlab-http (1 references)
target     prot opt source               destination         
REJECT     all  --  $IP       anywhere             reject-with icmp-port-unreachable

Chain f2b-gitlab-ssh (1 references)
target     prot opt source               destination         
REJECT     all  --  $IP       anywhere             reject-with icmp-port-unreachable

Status for the jail: gitlab-ssh
|- Filter
|  |- Currently failed:	1
|  |- Total failed:	83
|  `- File list:	/home/gitlab/logs/sshd/current
`- Actions
   |- Currently banned:	1
   |- Total banned:	5
   `- Banned IP list:	$IP

En partant des logs, j’arrive à voir les connections avec l’ IP
Sur Fail2ban, on constate les erreurs et l’ IP est ban
Pour « gitlab-ssh » le trafic continue toujours alors qu’avec « gitlab-http » je suis déconnecté.

Zargos · Mars 2, 2023, 1:30pm

Bonjour, On peut voir le fichier?

yatta · Mars 2, 2023, 2:13pm

 Fail2Ban filter for Gitlab
# Detecting unauthorized access to the Gitlab Web portal
# typically logged in /var/log/gitlab/gitlab-rails/application.log

[Definition]
failregex = ^: Failed Login: username=<F-USER>.+</F-USER> ip=<HOST>$

ça doit être une règle présente dans le paquet fail2ban