Fail2BanでIPを適切に禁止解除する方法

サーバーでFail2Banを使用していますが、IPを適切に禁止解除する方法について疑問に思っています。

IPTablesを直接操作できることは知っています。 iptables -D fail2ban-ssh <number>

しかし、それを行う方法はありませんfail2ban-clientか？

マニュアルでは、次のように記載されていますfail2ban-client get ssh actionunban <IP>。しかし、それは機能しません。

また、/etc/init.d/fail2ban restartリスト内のすべての禁止が失われるため、私はしたくありません。

v0.8.8より前のFail2Banの場合：

fail2ban-client get YOURJAILNAMEHERE actionunban IPADDRESSHERE

Fail2Ban v0.8.8以降の場合：

fail2ban-client set YOURJAILNAMEHERE unbanip IPADDRESSHERE

難しいのは、適切な刑務所を見つけることです。

1. iptables -L -nルール名を見つけるために使用...
2. ...次にfail2ban-client status実際の刑務所名を取得するために使用します。ルール名と刑務所名は同じではないかもしれませんが、どれがどれに関連しているのかを明確にする必要があります。

v0.8.8以降にはunbanipオプションがあります（actionunbanこの目的のためではありません）。setコマンドでトリガーできます。オプションのリストを見ると、構文が表示されます。だから、それは次のようになります（心から、チェックしてください）

fail2ban-client set ssh-iptables unbanip IPADDRESSHERE 

より一般的な：

fail2ban-client set JAILNAMEHERE unbanip IPADDRESSHERE

私のために働く

対話モードでのSSHの例。

bashを入力：

fail2ban-client -i

次に、対話型モードで、jailのステータスを読み取ります。

status sshd

あなたが取得します：

Status for the jail: ssh
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 6
|  `- File list:    /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned: 2
   `- Banned IP list:   203.113.167.162

次に、fail2banインタラクティブモードで入力します。

set sshd unbanip 203.113.167.162

あなたが取得します：

203.113.167.162

203.113.167.162禁止リストに含まれていないことを意味します。

ukodaの答えは間違っています。

fail2ban-clientパラメータなしで呼び出すと、可能なコマンドのリストが表示されます。

get JAIL actionunban ACT             

これにより、JAILのアクションACTのunbanコマンドが取得されます。

定義した刑務所のactionパラメーターを調べてください。おそらくiptablesアクションがあり、sendmail、whoisなどのようなものがあるかもしれません。アクションがiptablesの場合、次のようになります。

fail2ban-client get JAIL actionunban iptables

答えは次のとおりです。

iptables -D fail2ban-NAME -s IP -j DROP

禁止を解除するために何を書かなければならないかを示すだけです。unbanコマンド自体はありません。

192.168.2.1が禁止されている場合

sudo iptables -L

たとえば、禁止されているチェーンを確認します

チェーンfail2ban-sasl（1参照）

すべて削除-192.168.2.1どこでも

次に：

# to view the proper command for un-banning
sudo fail2ban-client get sasl actionunban
# actual command
iptables -D fail2ban-sasl -s 192.168.2.1 -j DROP

最初に刑務所の名前を取得する必要があります。リストを取得できます（ほとんどの場合、ssh jailのみです）。

fail2ban-client status

刑務所名を取得した後、どのIPが無視されているかを確認できます。

fail2ban-client get ssh ignoreip

IPが無視リストにある場合、次の方法で削除できます。

fail2ban-client set ssh delignoreip your_ip_address
vi /etc/hosts.deny

ホストエントリを削除します。

fail2ban-client reload

fail2ban v.0.8.6の使用：

$ sudo fail2ban-client status # to reveal your JAIL name (mine is ssh)
$ sudo fail2ban-client set ssh delignoreip your_ip_address
$ sudo nano /etc/hosts.deny # delete your ip address
$ sudo fail2ban-client reload

残念ながら、fail2ban-clientのバージョン0.8.2では次のコマンドを使用します。

fail2ban-client get jail actionunban ipaddress

実行されません。問題を解決するには、fail2banを最新バージョンにアップグレードし、新しいオプションを使用するのが最良の選択です。

unbanip

fail2ban-client set sshd unbanip ip_here

動作します。

IPが複数の刑務所にある場合、これは苦痛になります。

すべての刑務所から192.168.1.2を削除するためのワンライナー：

 for jail in $(fail2ban-client status | grep 'Jail list:' | sed 's/.*Jail list://' | sed 's/,//g'); do fail2ban-client set $jail unbanip 192.168.1.2; done

同じhttps://gist.github.com/yolabingo/c810db6fe7f8bfcb9eb4f6ffc531e474を実行するスクリプト

バージョンv0.10.2を実行している場合：

sudo fail2ban-client禁止YOUR_IP_ADDRESS

これはヘルプからです：

unban <IP> ... <IP> unbans <IP> (in all jails and database)

私の場合、sshクライアントが間違ったパスワードで繰り返しログインしたために禁止された可能性が高いので、動作することを確認しました。