Rozwiązany Kontener Owncloud+Fail2ban Behind Proxy Problem

Dyskusja w 'Wirtualizacja serwerów i klastrów' rozpoczęta przez użytkownika Ciangi, 18 Lipiec 2017.

Ładowanie...
  1. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    Model serwera: QNAP TS-251+


    Witam,

    mam problem z banowaniem adresow IP przez Fail2ban. Filtr na wykrywanie w fail2ban dziala poprawnie, tzn. gdy ktos np. 5 razy zle poda login i haslo to go poprawnie banuje:

    np. iptables kontenera wyglada tak:


    INPUT .....
    DROP tcp -- 31.0.80.229 0.0.0.0/0 tcp dpt:80


    virtual host w Apache w qnapie skonfigurowalem tak:
    Kod (Text):
    1.  
    2. <VirtualHost *:80>
    3.   ProxyPreserveHost On
    4.   ProxyPass / http://192.168.50.10:84/
    5.   ProxyPassReverse / http://192.168.50.10:84/
    6.   ServerName test.com
    7.   DocumentRoot "/share/CACHEDEV1_DATA/Web/error"
    8. </VirtualHost>
    9.  
    tzn. ze po wpisaniu "Client Validation" (port 80) laczy mi sie bezposrednio (do panelu logowania ownclouda) z kontenerem, ktory zawiera ownclouda.

    i teraz konfiguracja virtual hosta apache kontenera:
    Kod (Text):
    1.  
    2. <VirtualHost *:80>
    3.   DocumentRoot /var/www/site
    4.  
    5.   <Directory /var/www/site/>
    6.       Options Indexes FollowSymLinks MultiViews
    7.       AllowOverride All
    8.       Order deny,allow
    9.       Allow from all
    10.   </Directory>
    11.  
    12.   RemoteIPHeader X-Forwarded-For
    13.   RemoteIPTrustedProxy 172.17.238.1
    14.  
    15.  
    16.   ErrorLog ${APACHE_LOG_DIR}/error.log
    17.   CustomLog ${APACHE_LOG_DIR}/access.log combined
    18.  
    19. </VirtualHost>
    20.  
    adres ip 172.17.238.1, bo pod tym adresem jest widoczny dla tego kontenera qnap.

    I teraz oczywiscie mod_remoteip jest wlaczony itd. ponadto w konfiguracji apache kontenera dodalem:


    LogFormat "%h %l %u %t \"%r\" %>s %O" common

    ,bo apache napisal, ze:

    # Note that the use of %{X-Forwarded-For}i instead of %h is not recommended.
    # Use mod_remoteip instead.
    #

    wiec uzywam mode remoteip i %h zamiast %{X-Forwarded-For}i

    i teraz tak w logach apache kontenera poprawnie pokazuje mi adres IP, czyli :

    Kod (Text):
    1.  
    2. 31.0.80.229 - - [17/Jul/2017:14:31:33 +0200] "POST /index.php/login HTTP/1.1" 303 741 "-" "Mozilla/5.0 (Android 5.1; Mobile; rv:51.0) Gecko/51.0 Firefox/51.0"
    3.  
    i dodatkowo logi ownclouda rowniez widza wszystko ok, czyli:

    Kod (Text):
    1.  
    2. {"reqId":"WVqdioulekCWym1NVVEZ","level":2,"time":"2017-07-17T14:31:33+02:00","remoteAddr":"31.0.80.229","user":"--","app":"core","method":"POST","url":"\/index.php\/login","message":"Login failed: 'dhdhd' (Remote IP: '31.0.80.229')"}
    3.  
    Wiec skoro wszystko wydaje sie w porzadku, iptables regula dodana itd. to dlaczego nadal z adresu 31.0.80.229 jestem w stanie nadal móc probowac logowac sie na ownclouda????????


    Proszę o wszelkie wskazówki i dziękuję za odpowiedzi

    Pozdrawiam
     
  2. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    owncloud czasem na SSL nie leci ? wtedy musisz banować port 443 a nie 80
     
  3. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    Właśnie najpierw ogólnie wszystko próbowałem robić po SSLu ( tak mialem ustawione domyslnie ) i rowniez porty 443 blokowalo w taki sam sposob jak opisalem powyzej. Nastepnie gdzies cos mi przeskoczylo na jakims forum, ze moga byc problemy po SSLu zeby wychwycic adres IP jak cos stoi behind proxy ( w sumie tak jak juz mowilem, wszystko w logach pokazywalo poprawnie, ze po SSLu tez widzialo IP i fail2ban blokowal w iptables, wiec sie zdziwilem jak to przeczytalem) i dlatego wszystko zaczalem testowac przy wymuszeniu ownclouda po porcie 80.
    Reasumujac, dzialanie fail2ban w przypadku 80 i 443 portu dziala tak samo, czyli niby banuje, ale nadal "widze" strone logowania i moge sie logowac.
    --- Połączono posty, 18 Lipiec 2017, Data oryginalnego postu: 18 Lipiec 2017 ---
    Jeszcze o jednej waznej rzeczy nie powiedzialem.

    Jesli dodalbym do reguly iptables:
    INPUT .....
    DROP tcp -- 172.17.238.1 0.0.0.0/0 tcp dpt:80

    ,gdzie adres IP powyzej odpowiada adresowi IP qnapa ( dla kontenera ) wtedy nikt nie moze polaczyc sie ze strona, czyli adres ip np. 31.0.80.229 , 38.20.80.439 itd.

    I teraz nie wiem czy to jest stan porzadany czy tez nie?

    bo wskazywaloby to na to ze pomimo w logach widze adresy publiczne to tak czy srak kazdy klient laczy sie z kontenerem poprzez adres IP hosta qnapa. Tylko teraz pytanie, dlaczego tak sie dzieje? Znaczy sie dlaczego tak sie dzieje to w sumie logiczne, ale dlaczego kontener interpretuje kazdego klienta z adresem IP hosta qnapa zamiast z jego adresem publicznym skoro go przeciez widzi.
     
  4. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    zapodaj całe iptables

    poza tym - na damski parasol w vhoscie kontenera przekierowanie proxy ? to bez sensu jak dla mnie, jaki jest powód tego wpisu ?
     
  5. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    Kod (Text):
    1.  
    2. Chain INPUT (policy ACCEPT)
    3. target     prot opt source               destination
    4. f2b-owncloud  all  --  0.0.0.0/0            0.0.0.0/0
    5. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:443
    6. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:80
    7.  
    8. Chain FORWARD (policy ACCEPT)
    9. target     prot opt source               destination
    10.  
    11. Chain OUTPUT (policy ACCEPT)
    12. target     prot opt source               destination
    13.  
    14. Chain f2b-owncloud (1 references)
    15. target     prot opt source               destination
    16. RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    17.  
    Oczywiscie odnosnie tych linijek DROP sa dodane recznie przeze mnie - docelowo jezeli fail2ban banuje, dodaje je do Chain f2b-owncloud.

    RemoteIPTrustedProxy 172.17.238.1 to nie jest przekierowanie proxy. to jest dodanie adresu IP jako zaufanego serwera proxy. Bez tej linijki w logach zawsze uzyskam adres IP hosta qnapa, czyli 172.17.238.1. Czyli dzieki tej linijce jestem w stanie uzyskac w logach apacha kontenera publiczne adresy IP.
     
  6. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
  7. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    Ok.
    Usunalem caly Chain f2b-owncloud z INPUTa. Odpalilem net w komie, dodalem bana na nowy IP i nadal moge się łączyć ....

    iptables:

    Kod (Text):
    1.  
    2. Chain INPUT (policy ACCEPT)
    3. target     prot opt source               destination
    4. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:443
    5. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:80
    6. DROP       tcp  --  31.0.68.15           0.0.0.0/0            tcp dpt:80
    7. DROP       tcp  --  31.0.68.15           0.0.0.0/0            tcp dpt:443
    8.  
    9. Chain FORWARD (policy ACCEPT)
    10. target     prot opt source               destination
    11.  
    12. Chain OUTPUT (policy ACCEPT)
    13. target     prot opt source               destination
    14.  
    15. Chain f2b-owncloud (0 references)
    16. target     prot opt source               destination
    17. RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    18.  
     
  8. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    przerzuć regułki w OUTPUT
    --- Połączono posty, 18 Lipiec 2017, Data oryginalnego postu: 18 Lipiec 2017 ---
    upload_2017-7-18_18-35-22.
     
  9. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    nadal to samo.... ( IP inne bo jak wylacze i wlacze neta to Plus daje inne IP)
    Kod (Text):
    1.  
    2. Chain INPUT (policy ACCEPT)
    3. target     prot opt source               destination
    4. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:443
    5. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:80
    6. DROP       tcp  --  31.0.68.15           0.0.0.0/0            tcp dpt:80
    7. DROP       tcp  --  31.0.68.15           0.0.0.0/0            tcp dpt:443
    8.  
    9. Chain FORWARD (policy ACCEPT)
    10. target     prot opt source               destination
    11.  
    12. Chain OUTPUT (policy ACCEPT)
    13. target     prot opt source               destination
    14. DROP       tcp  --  31.0.44.252          0.0.0.0/0            tcp dpt:443
    15. DROP       tcp  --  31.0.44.252          0.0.0.0/0            tcp dpt:80
    16.  
    17. Chain f2b-owncloud (0 references)
    18. target     prot opt source               destination
    19. RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    20.  
    Tylko czekaj, zebym sie upewnil, ze dobrze siebie rozumiemy... ja listuje wynik zapytania:
    # iptables -L -n

    Wylistuje rowniez w razie w # iptables -L -n -t nat :
    Kod (Text):
    1.  
    2. Chain PREROUTING (policy ACCEPT)
    3. target     prot opt source               destination
    4.  
    5. Chain INPUT (policy ACCEPT)
    6. target     prot opt source               destination
    7.  
    8. Chain OUTPUT (policy ACCEPT)
    9. target     prot opt source               destination
    10. DNAT       udp  --  0.0.0.0/0            127.0.0.11           udp dpt:53 to:127.0.0.11:58741
    11. DNAT       tcp  --  0.0.0.0/0            127.0.0.11           tcp dpt:53 to:127.0.0.11:36528
    12.  
    13. Chain POSTROUTING (policy ACCEPT)
    14. target     prot opt source               destination
    15. SNAT       udp  --  127.0.0.11           0.0.0.0/0            udp spt:58741 to::53
    16. SNAT       tcp  --  127.0.0.11           0.0.0.0/0            tcp spt:36528 to::53
    17.  
     
  10. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    blokuj całą grupę

    iptables -A INPUT -s 31.0.0.0/24 -j DROP
    iptables -A OUTPUT -d 31.0.0.0/24 -j DROP

    a przeładowałeś iptables po zmianie ? zwykle /etc/init.d/firewall reload badz przez service ...

    poza tym jedno mnie zastanawia :
    bo robisz reverse proxy - to maskuje adres IP (?) - co widać w logu apache'a w kontenerze ? tail -f /var/log/apache2/access.log

    u mnie patrząc ze strony systemu który jest wewnątrz :
    Kod (Text):
    1. ○ → tail -f /var/log/apache2/access.log
    2. 147.135.208.202 - - [18/Jul/2017:19:17:07 +0200] "GET /sonarr/api/config/ui HTTP/1.1" 200 646 "http://p.seph.ovh/   " "Mozilla/5.0 (Linux; Android 4.4.2; Che2-L11 Build/HonorChe2-L11) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.125 Mobile Safari/537.36"
    3. 147.135.208.202 - - [18/Jul/2017:19:17:07 +0200] "GET /sonarr/api/system/status HTTP/1.1" 200 771 "http://p.seph.ovh/     " "Mozilla/5.0 (Linux; Android 4.4.2; Che2-L11 Build/HonorChe2-L11) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.125 Mobile Safari/537.36"
    147.135.208.202 - adres mojego serwera VPS

    w systemie zewnątrz:
    Kod (Text):
    1.  
    2. 202.ip-147-135-208.eu:80 94.254.247.88 - - [18/Jul/2017:19:17:15 +0200] "GET /sonarr/signalr/poll?transport=longPolling&connectionToken=CBVymeuJsGq6Q56aSwYkG8KAVL73rKZJpSYbbjoOIyDTUYbnttvNxtNFVVZMpOG121vwoup%2Fr4QRBxgxWQ6zwCa05a6S553GttBfgiMoDNuyhrAYiaYwzcuEPEi50xM41EsjAOhlYIdajCY0Sh0ehtnCRlef1FG%2Fm8w9d4QeoFFV6cAtB8MP%2BH7%2FziqgjP%2FRcHhXBENdO5CB692hgv6xdZ6Q8tV8b%2FurtKdG8aD0F4CztblWvG5X4pm38aJf7IiyYOqizI7FR%2BqGuNX2QrQsnCFXyo3S2V8F61fzFC61Mu0iibD9wrc7fYn2Yw2uJ9dR&messageId=d-605EDF82-BN%2C6B5%7CBa%2C0%7CBb%2C0&tid=1&_=1500398137248 HTTP/1.1" 200 252 "http://p.seph.ovh/     " "Mozilla/5.0 (Linux; Android 4.4.2; Che2-L11 Build/HonorChe2-L11) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.125 Mobile Safari/537.36"
    94.254.247.88 - IP z mojej komórki
     
  11. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    tylko to w kontenerze posiadam...
    Kod (Text):
    1.  
    2. root@f64fed9d902e:/# /etc/init.d/
    3. apache-htcacheclean     fail2ban                mountall.sh             ondemand                sendsigs
    4. apache2                 halt                    mountdevsubfs.sh        procps                  single
    5. bootmisc.sh             hostname.sh             mountkernfs.sh          rc                      umountfs
    6. checkfs.sh              hwclock.sh              mountnfs-bootclean.sh   rc.local                umountnfs.sh
    7. checkroot-bootclean.sh  killprocs               mountnfs.sh             rcS                     umountroot
    8. checkroot.sh            mountall-bootclean.sh   networking              reboot                  urandom
    9.  
    wiec uzywam # /etc/init.d/networking restart


    nowe iptables:
    Kod (Text):
    1.  
    2. Chain INPUT (policy ACCEPT)
    3. target     prot opt source               destination
    4. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:443
    5. DROP       tcp  --  31.0.80.229          0.0.0.0/0            tcp dpt:80
    6. DROP       tcp  --  31.0.68.15           0.0.0.0/0            tcp dpt:80
    7. DROP       tcp  --  31.0.68.15           0.0.0.0/0            tcp dpt:443
    8. DROP       all  --  31.0.0.0/24          0.0.0.0/0
    9.  
    10. Chain FORWARD (policy ACCEPT)
    11. target     prot opt source               destination
    12.  
    13. Chain OUTPUT (policy ACCEPT)
    14. target     prot opt source               destination
    15. DROP       tcp  --  31.0.44.252          0.0.0.0/0            tcp dpt:443
    16. DROP       tcp  --  31.0.44.252          0.0.0.0/0            tcp dpt:80
    17. DROP       all  --  0.0.0.0/0            31.0.0.0/24
    18.  
    19. Chain f2b-owncloud (0 references)
    20. target     prot opt source               destination
    21. RETURN     all  --  0.0.0.0/0            0.0.0.0/0
    22.  
    23.  
    aktualny przyklad logu apacha z kontenera:

    Kod (Text):
    1.  
    2. 31.0.44.252 - - [18/Jul/2017:19:29:29 +0200] "GET /index.php/login HTTP/1.1" 200 2853 "-" "Mozilla/5.0 (Android 5.1; Mobile; rv:51.0) Gecko/51.0 Firefox/51.0"
    3.  
    log ownclouda ( rowniez z kontenera ):
    Kod (Text):
    1.  
    2. {"reqId":"EcxoLvEFJemd52JawxVk","level":2,"time":"2017-07-18T19:31:47+02:00","remoteAddr":"31.0.44.252","user":"--","app":"core","method":"POST","url":"\/index.php\/login","message":"Login failed: 'xhxhd' (Remote IP: '31.0.44.252')"}
    3.  
     
  12. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    a w FORWARD wrzuć te regułki ... powoli tablice się nam kończą ...
    zostanie jeszcze f2b-owncloud ...
     
  13. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    Forward i f2b-owncloud to samo ....
    tylko teraz tak, dlaczego jezeli dodam regule:

    iptables -D INPUT -p tcp --dport 80 -s 172.17.238.1 -j DROP


    to wtedy nie moge sie zalogowac? w sensie nie laduje w ogole strony? Wyglada na to jakby to proxy do konca nie dzialalo?? bo identyfikuje kazdego klienta jako adres IP 172.17.238.1 ?? czyli co, access.log i logi ownclouda oszukuja?
    --- Połączono posty, 18 Lipiec 2017, Data oryginalnego postu: 18 Lipiec 2017 ---
    Nie wiem czy to cos robi, ale zaczalem grzebac troche w konfiguracji vhosta kontenera:
    zamienilem
    CustomLog ${APACHE_LOG_DIR}/access.log combined
    na
    CustomLog ${APACHE_LOG_DIR}/access.log "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\" \"[XF %{X-Forwarded-For}i]\""
    w vhoscie nadal mialem ustawione:
    Kod (Text):
    1.  
    2.   RemoteIPHeader X-Forwarded-For
    3.   RemoteIPTrustedProxy 172.17.238.1
    4.  
    w wyniku z logu apacha :
    Kod (Text):
    1.  
    2. 172.17.238.1 - - [18/Jul/2017:23:05:03 +0200] "GET /index.php/login HTTP/1.1" 200 2109 "-" "Mozilla/5.0 (Android 5.1; Mobile; rv:51.0) Gecko/51.0 Firefox/51.0" "[XF -]"
    3.  
    i teraz jeszcze jeden myk zrobilem w taki sposob ze Custom Log jak wyzej podmieniony, ale zmienilem jeszcze:
    Kod (Text):
    1.  
    2.   RemoteIPHeader X-Real-IP
    3.   RemoteIPTrustedProxy 172.17.238.1
    4.  
    i wynik apache loga:
    Kod (Text):
    1.  
    2. 172.17.238.1 - - [18/Jul/2017:23:15:22 +0200] "GET /cron.php HTTP/1.1" 200 20 "-" "Mozilla/5.0 (Android 5.1; Mobile; rv:51.0) Gecko/51.0 Firefox/51.0" "[XF 31.0.69.175]"
    3.  
    Przy tych kombinacjach, nadal mam dostep do strony logowania ....

    Nie wiem w ogole o co tu chodzi... Znaczy ogolnie wynika ze iptables dziala, tylko problem jest ciagle z tymi adresami ... moze tak byc ze apache w logach pokazuje adres publiczny a iptables widzi ze wszyscy klienci to adres ip 172.17.238.1 ??
     
  14. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    pięknie wycięłes ruch z swojego proxy (QNAP) odciąłeś się od niego na porcie 80
    i tym samym pięknie potwierdziłeś że adres jest maskowany.

    EOT - blokowanie IP powinno odbyć się na QNAPie.
     
  15. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    Tylko teraz tak. Czy jest mozliwosc, jezeli w kontenerze fail2ban zbanuje IP, przekazanie informacji do hosta ( qnapa ) zeby takowy adres zbanowal?? zwracam uwage tutaj na slowa przekazanie informacji.
     
  16. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    jak napiszesz sobie program który to robi to pewnie
     
  17. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    A jakas podpowiedz moglbym dostac ? :)

    bo to co ja wymyslilem nie wiem czy jest to dobry sposob, czyli:

    fail2ban w kontenerze banuje ( lapie publiczny adres IP ) i zapisuje ten adres IP do pliku (do ktorego ma rowniez dostep QNAP ), nastepnie w qnapie ustawiam w crontabie zeby co np. minute sprawdzal i pobieral zawartosc tego pliku, czyli np. adresy ip zapisane osobno w kazdej linii i ustawial pod nie DROPa w iptables?

    czy jest jakies latwiejsze/lepsze rozwiazanie ?
     
  18. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    To mnie ciekawi, jak to zrobić

    można - ale tu jest pare problemów:
    1. program zapisze IPka, a cron go odczyta w tym momencie - błąd
    2. co z powtarzalnymi banami ?

    ja zbanowałem na głównym routerze całą maskę Chin, Indonezji i mam to z głowy ;)
     
  19. Ciangi
    Offline

    Ciangi Entry Technician Q Associate

    Dołączył:
    24 Styczeń 2016
    Wiadomości:
    75
    Local Time:
    14:15
    Oceny:
    +14 / 1 / -0
    Followers:
    0
    QNAP:
    TVS-ECxx80
    Ethernet:
    1 GbE
    TVS-ECxx80 1 GbE
    Znaczy sie w ogole tak, jedno sprostowanie, w konfiguracji kontenera apacha ustawilem nie:
    LogFormat "%h %l %u %t \"%r\" %>s %O" common

    tylko
    LogFormat "%a %l %u %t \"%r\" %>s %O" common

    i teraz wlasnie dzieki temu pokazuja mi sie w logach access.log publiczne adresy IP, a nie maskowane. takze jak fal2ban banuje to wlasnie "banuje" publiczne IP, w sensie niby "banuje" bo dodaje ragulke w iptables na ten konkretny publiczny adres IP, ale z racji, ze qnap maskuje ipki to iptables w kontenerze nie zadziala.
    Wiec, mam informacje od fail2ban na konkretny publiczny adres ip i moge go poprawnie przekazac do pliku.

    Co do problemow 1. i 2. na razie nic nie przychodzi mi do glowy.

    Tylko teraz jeszcze jedno, jezeli apache potrafi wychwycic publiczny adres IP ( %a ) to czy w iptables nie ma jakiejs mozliwosci ustawienia zeby widzial polaczenia klientow jako wlasnie "%a" a nie "%h"? Bo wychodzi teraz na to, ze iptables jak przychodzi polaczenie to widzi kazdego klienta jako "%h", czyli adres ip qnapa.
    --- Połączono posty, 20 Lipiec 2017, Data oryginalnego postu: 19 Lipiec 2017 ---
    Finalnie, znalazlem rozwiazanie, ktore dziala i nie wymaga kontaktu z QNAPem:

    Jakbym mogl jeszcze prosic o potwierdzenie, czy takie zastosowanie jest bezpieczne.

    Oczywiscie jeszcze w fail2ban musze ustawic actionban w taki sposob zeby tworzyl plik o nazwie ip, czyli pewnie cos w stylu touch /usr/www/{your_path}/deny/<ip>

    W razie co, temat mozna uznac za rozwiazany.
     
  20. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:15
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    jesli umieścisz to .httaccess to KAŻDE połączenie będzie odczytywało ten plik - będzie to wolniejsze
    lepiej wrzucić to do pliku konfiguracyjnego apache'a w etc - to będzie dużo szybsze rozwiązanie.
     
    • Zgadzam się! Zgadzam się! x 1

Poleć tę stronę