[Solved]Fail2Ban auf der OPNSense

[Nephiria]

Hi zusammen,

weis jemand wie man Fail2Ban zum laufen bekommt unter OPNSense.
Man kann es wohl über den PKG installieren und es scheint alles über die Logfiles etc. zu erkennen wie man einstellt. nur leider funktionieren die "BANs" nicht er sagt zwar das er die IPs gebannt hat aber leider hat es effektiv keinen einfluss.

Genommen habe dafür IPFW.
Muss ich da evtl. etwas anderes nehmen?

Hatte sowas als "JAIL" Konfiguriert.

[postfix]
enabled = true
mode    = more
port    = smtp,465,submission
logpath = /var/log/postfix/postfix*.log
bantime  = 3600
maxretry = 3
banaction = bsd-ipfw

Vom Logfile her hat es funktioniert so das ich auch gesehen habe das er eine IP die auf meinen Mailserver ununterbrochen eine Attacke ausgeführt hatte gebannt wurde nur leider hatte es keine Auswirkung.

Erst nachdem ich eine Rule über das "GUI" von OPNsense gemacht habe und die IP daran gehindert habe eine Verbindung herstellen zu können.

Ich würde das gerne an Fail2Ban übergeben solche dinge zumal ich mich dann um sowas nicht mehr kümmern muss.

Danke für den Input

[mimugmail]

Gibts auch pf statt ipfw?

[Nephiria]

Wenn ich schaue auf meiner OPNSense gibts diese befehle.

/usr/local/etc/fail2ban # pf
pfbtops pfctl   pflogd  pftop   pftp


Als das mit PF scheint nicht zu funktionieren.

2020-12-08T10:05:30   postfix/smtpd[51191]   connect from unknown[45.142.120.84]

Log vom Postfix das er weiterhin connecten kann hier vom fail2ban.

2020-12-08 10:06:39,497 fail2ban.filter         [61773]: INFO    [postfix-sasl] Found 45.142.120.84 - 2020-12-08 10:06:39
2020-12-08 10:06:39,879 fail2ban.filter         [61773]: INFO    [postfix-sasl] Found 45.142.120.84 - 2020-12-08 10:06:39
2020-12-08 10:06:44,635 fail2ban.filter         [61773]: INFO    [postfix-sasl] Found 45.142.120.84 - 2020-12-08 10:06:44
2020-12-08 10:06:45,040 fail2ban.actions        [61773]: WARNING [postfix-sasl] 45.142.120.84 already banned
2020-12-08 10:06:49,786 fail2ban.filter         [61773]: INFO    [postfix-sasl] Found 45.142.120.84 - 2020-12-08 10:06:49
2020-12-08 10:06:50,787 fail2ban.filter         [61773]: INFO    [postfix-sasl] Found 45.142.120.84 - 2020-12-08 10:06:50
2020-12-08 10:06:52,451 fail2ban.filter         [61773]: INFO    [postfix-sasl] Found 45.142.120.84 - 2020-12-08 10:06:52
2020-12-08 10:06:52,651 fail2ban.actions        [61773]: WARNING [postfix-sasl] 45.142.120.84 already banned

Anscheinend funktioniert es nicht mit dem OPNSense zusammen frage ist halt nur wieso.

[ascii]

gemeint war glaube ich die banaction

von dem was ich so auf github und im freebsd forum lese
https://forums.freebsd.org/threads/communication-between-fail2ban-and-pf-fails.64452/
https://github.com/fail2ban/fail2ban/issues/1915

sollte es so ausehen

Code: [Select]

banaction = pf[actiontype=<allports>]

[Nephiria]

ok werde ich mal testen danke.

Update:
Leider funktioniert das nicht. Das Ergebnis bleibt das gleiche.
Er sieht über Log die IP die er bannen müsste aber leider passiert bei der Firewall wohl nichts oder es verpufft.

ich habe gesehen das es duzende Config Files gibt unter Action.D/ was Fail2Ban ansprechen kann ist halt die Frage welche Lösung muss ich nehmen oder muss vielleicht anpassungen im Configfile vornehmen.

Hier mal das Default Config File von "PF".

# Fail2Ban configuration file
#
# OpenBSD pf ban/unban
#
# Author: Nick Hilliard <nick@foobar.org>
# Modified by: Alexander Koeppe making PF work seamless and with IPv4 and IPv6
#
#

[Definition]

# Option:  actionstart
# Notes.:  command executed on demand at the first ban (or at the start of Fail2Ban if actionstart_on_demand is set to false).
# Values:  CMD
#
# we don't enable PF automatically; to enable run pfctl -e
# or add `pf_enable="YES"` to /etc/rc.conf (tested on FreeBSD)
# also, these rulesets are loaded into (nested) anchors
# to enable them, add as wildcard:
#     anchor "f2b/*"
# or using jail names:
#     anchor f2b {
#        anchor name1
#        anchor name2
#        ...
#     }
# to your main pf ruleset, where "namei" are the names of the jails
# which invoke this action
actionstart = echo "table <<tablename>-<name>> persist counters" | <pfctl> -f-
              port="<port>"; if [ "$port" != "" ] && case "$port" in \{*) false;; esac; then port="{$port}"; fi
              echo "<block> proto <protocol> from <<tablename>-<name>> to <actiontype>" | <pfctl> -f-

# Option:  start_on_demand - to start action on demand
# Example: `action=pf[actionstart_on_demand=true]`
actionstart_on_demand = false

# Option:  actionstop
# Notes.:  command executed at the stop of jail (or at the end of Fail2Ban)
# Values:  CMD
#
# we only disable PF rules we've installed prior
actionstop = <pfctl> -sr 2>/dev/null | grep -v <tablename>-<name> | <pfctl> -f-
             %(actionflush)s
             <pfctl> -t <tablename>-<name> -T kill


# Option:  actionflush
# Notes.:  command executed once to flush IPS, by shutdown (resp. by stop of the jail or this action)
# Values:  CMD
#
actionflush = <pfctl> -t <tablename>-<name> -T flush


# Option:  actioncheck
# Notes.:  command executed once before each actionban command
# Values:  CMD
#
actioncheck = <pfctl> -sr | grep -q <tablename>-<name>


# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip>  IP address
#          <failures>  number of failures
#          <time>  unix timestamp of the ban time
# Values:  CMD
#
actionban = <pfctl> -t <tablename>-<name> -T add <ip>


# Option:  actionunban
# Notes.:  command executed when unbanning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    <ip>  IP address
#          <failures>  number of failures
#          <time>  unix timestamp of the ban time
# Values:  CMD
# note -r option used to remove matching rule
actionunban = <pfctl> -t <tablename>-<name> -T delete <ip>

# Option: pfctl
#
# Use anchor as jailname to manipulate affected rulesets only.
# If more parameter expected it can be extended with `pf[pfctl="<known/pfctl> ..."]`
#
pfctl = pfctl -a f2b/<name>

[Init]
# Option:  tablename
# Notes.:  The pf table name.
# Values:  [ STRING ]
#
tablename = f2b

# Option: block
#
# The action you want pf to take.
# Probably, you want "block quick", but adjust as needed.
block = block quick

# Option:  protocol
# Notes.:  internally used by config reader for interpolations.
# Values:  [ tcp | udp | icmp | ipv6-icmp ] Default: tcp
#
protocol = tcp

# Option: actiontype
# Notes.: defines additions to the blocking rule
# Values: leave empty to block all attempts from the host
# Default: Value of the multiport
actiontype = <multiport>

# Option: allports
# Notes.: default addition to block all ports
# Usage.: use in jail config: "banaction = pf[actiontype=<allports>]"
allports = any

# Option: multiport
# Notes.: addition to block access only to specific ports
# Usage.: use in jail config: "banaction = pf[actiontype=<multiport>]"
multiport = any port $port

wie man unten sehen kann wird das auch im Konfigfile so erwähnt.
# Usage.: use in jail config: "banaction = pf[actiontype=<allports>]"

Was aber leider nicht zu gewünschten ziel führt.

[marcquark]

Vielleicht eine Idee als Workaround: Kannst du dir eine Banaction definieren, die die IP in eine Textdatei schreibt? Die könntest du in der GUI als Quelle für einen Alias konfigurieren, und diesen auf dem WAN Interface blocken. Bleibt zu erörtern, wie oft dieser Alias aktualisiert und angewendet wird

[Nephiria]

Das Thema wird langsam dringend bei mir weil der Typ oder was auch immer ist wohl mehr als nur 1 IP hat.
Anscheinend hat er ein komplettes Network geklappert und kommt aus Teheran.

Hab ungefähr 20 verschiedene IP von dem auf meinem Mailserver gesehen die versucht haben zu Authentifizieren.
Habe es auch schon GEO IP probiert aber das scheint nicht so zu funktionieren.
Weil Teils werden dann IP Blockiert die nicht blockiert werden dürften.

Als Beispiel ich lasse Niederlande zu und habe dann invert Rule so das alles ausser die Niederlande Blockiert wird so kommt es dann vor das von dort eine Mail Blockiert wird.
Habe aber darüber schon gelesen hier im Forum frage ist halt wie das gefixed wird.

Weil anscheinend liegt es bei Fail2Ban an der Config wie gesehen habe von pf.conf.
Hatte damit mal ein wenig rumgespiel und habe es geschafft das von fail2ban IPs in die Rules geschrieben werden allerdings obwohl ich eine External Alias habe funktioniert es dann anscheinend nicht.

Was mich dann schon ein wenig irritiert.
Den ich habe fail2ban auch auf meinem "Reverse Proxy" laufen ist aber ein anderes "Nix" system keine opnsense dort wird es halt ziemlich brav umgesetzt.

Dort muss nicht mal unter den actions.d/pf.conf anpassungen vornehmen sondern muss nur meine Jails entsprechend konfigurieren.

Ich wüsste auch gerade nicht wie ich automatisch ein import von Fail2ban in eine Textfile mache und das dann in ein Alias weitergeben kann die Idee hört sich gut an aber wie könnte ich das realisieren.

[mimugmail]

Google mal nach FireHol 3 und OPNsense, dann ist der geblockt

[Nephiria]

Danke dir für den Input das scheint gut zu funktionieren.
Damit wäre für mich das Problem gelöst.

[mimugmail]

Ausgezeichnet