IPTables & Fail2Ban

Hallo,

Zitat von easynetwork

ich würde in LiveConfig gerne folgende Features begrüßen:

- ein Firewall Interface / bzw. IPTables GUI, sodass der Administrator bequem über LiveConfig Ports öffnen und schließem, IPs blockieren und Routen festlegen kann.

Hier möchte ich mich doch direkt anschließen.
Von Vorteil wäre es in diesem Zusammenhang auch, wenn man ganze IP-Regionen "verbannen" und/oder umleiten könnte. Ich denke nicht, das meine täglichen Besucher aus Russland, China & Co wirklich in meinem Sinne handeln wollen...

Zitat von easynetwork

- Ich weiß nicht ob es geht, aber eine Fail2Ban Lösung wäre gut. Z.B. gibt man 3x ungültige Kontoinformationen an, und muss bis zum nächstem Login 10 Minuten warten. Ich kenne es von anderen Lösungen (z.B. ISPCP) und es hilft gegen Brutforce attacken doch schon etwas.Entweder könnte dies LiveConfig selbst verwalten und/oder eine Filterregel für Fail2Ban zu erstellen. Die Filterregel von Fail2Ban hätte den Vorteil aber auch Nachteil, dass es direkt in die IPTabels geschrieben wird und der Benutzer ggf. kein Feedback erhält, somit wäre eine eigene Lösung vllt. Vorteilhafter.

Das sehe ich auch so! Eine eigene Meldung scheint mir hier Sinnvoller....

viele Grüße
Matthias Knick

Zur Firewall: die Idee ist naheliegend, steht aber im "unteren Drittel" der "Wunschliste". Derzeit gibt es schlicht noch wichtigere Funktionen; wer IPTables nutzen möchte, dem stehen bei jeder Distribution hauseigene Firewall-Scripte zur Verfügung.
Aber wie gesagt - es steht auf der Wunschliste und wird mittelfristig auch umgesetzt werden. Unserer Vorstellung nach auch so, dass z.B. auf einem OpenSUSE-System einfach die entsprechenden Regeln mittels der SUSE-Firewall (bzw. YAST) kommuniziert werden und wir so keine weitere Insellösung aufsetzen. Da gibt's aber noch viele Details zu klären...

Zum Brute-Force-Schutz: dieser ist im Code an den entsprechenden Stellen vorbereitet, bislang nur noch nicht umgesetzt. Das sollte keine große Sache sein, ist also voraussichtlich auch im nächsten Update (1.5.2) enthalten.
Wir speichern in diesem Fall das IP-Netz (IPv4: /24, IPv6: /64). Ab dem 3. erfolglosen Anmeldeversuch wird eine Warnung angezeigt und ein Hinweis auf die "Passwort-vergessen"-Funktion gegeben. Nach dem 5. erfolglosen Versuch wird dieses IP-Netz für 10 min geblockt (mit entsprechendem Hinweis). Beim ersten erfolgreichen Login bzw. nach 10 Minuten wird das IP-Netz aus der Blacklist wieder entfernt.
Wir planen jedoch keine Konfigurationsmöglichkeit für manuelle Blacklists/Whitelists auf IP-Ebene; das sollte Sache einer IP-Firewall sein.

Viele Grüße

-Klaus Keppler

Ist der Brute-Force-Schutz mittlerweile implementiert. In einem Selbstversuch konnte ich dies nicht bestätigen.
Wenn nicht würde ich mich sehr über eine entsprechende Implementation in den nächsten Versionen freuen!

Gruß

Martin

Hallo,
gibts schon etwas neues zu dem Firewall Interface ?

Ich will das Thema nochmal aufarbeiten!

Den versucht eines erneuten Puush´s