FreePBX -> fail2ban не стартует после reboot

обсуждение вопросов по IP-PBX Asterisk

FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Ср мар 16, 2016 10:31 pm

День добрый господа, кто то уже разбирался с этим багом?

FreePBX 13.0.83

После перезагрузки машины в iptables нет цепочек fail2ban. Только куча всего от самого FreePBX.
Рестартую fail2ban и всё возвращается на круги своя. Есть ещё ряд моментов, которые я пока не понял (не было времени рыть), но это позже. Не прошу никого особо вникать, просто вдруг уже кто сталкивался и есть готовое решение (таблэтка) от этого косячка (хотя смотря какой косяк, а то и поделить можем :-) )
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Чт мар 17, 2016 9:05 am

Вообще не корректно сформулировал. Сам демон стартуер, но iptables не содержит или содержит частично цепочки от fail2ban. А вот после рестарта, всё ОК.
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение ded » Чт мар 17, 2016 12:29 pm

Сдвинуть старт fail2ban в конец всех сервисов, или пустить его старт через задержку - wait(3)
ded
Специалист
 
Сообщения: 4276
Зарегистрирован: Сб май 03, 2008 2:47 am

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Чт мар 17, 2016 3:19 pm

Не всё так просто в датском государстве. Поставил в приоритет в 98. Перезагурзил. Оперативно зашёл и после iptables-save увидел:

Код: Выделить всё
-A fail2ban-BadBots -j RETURN
-A fail2ban-FTP -j RETURN
-A fail2ban-SIP -j RETURN
-A fail2ban-SSH -j RETURN
-A fail2ban-apache-auth -j RETURN
-A fail2ban-aster-allport -j RETURN
-A fail2ban-recidive -s 188.138.33.32/32 -j DROP
-A fail2ban-recidive -j RETURN
COMMIT
# Completed on Thu Mar 17 15:14:00 2016
[root@medaudio-pbx ~]#
Broadcast message from root@medaudio-pbx (Thu Mar 17 15:14:03 2016):

Firewall service now starting.



в iptables есть все записи от fail2ban и прямо при мне стартонул firewall от самого FreePBX.
И вот что стало после этого:

Код: Выделить всё
-A fail2ban-aster-allport -s 188.138.33.32/32 -j DROP
-A fail2ban-aster-allport -s 85.25.218.110/32 -j DROP
-A fail2ban-aster-allport -j RETURN



И это только потому как, что jail вписан мной в jail.conf (сам freepbx использует jail.local)
Я не против, но встроенный firewall по моему вообще безсмысленен, ибо как он работает мне не очень ясно и настроить так как я хочу, я так и не смог. При этом все попытки взлома были успешно пропущены и никакого бана не было за это даже при повторениях по 100 раз.
Последний раз редактировалось baho_76 Чт мар 17, 2016 7:25 pm, всего редактировалось 1 раз.
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение ded » Чт мар 17, 2016 7:15 pm

Ну раз появились записи
-A fail2ban-aster-allport -s 188.138.33.32/32 -j DROP
-A fail2ban-aster-allport -s 85.25.218.110/32 -j DROP
значит начал срабатывать и поймал тараканов 188.138.33.32 и 85.25.218.110! Разве плохо?
ded
Специалист
 
Сообщения: 4276
Зарегистрирован: Сб май 03, 2008 2:47 am

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Чт мар 17, 2016 7:24 pm

Если внимательно посмотреть, то видно, что после старта встроенного firewall в FreepBX исчезают цепочки:
Код: Выделить всё
-A fail2ban-BadBots -j RETURN
-A fail2ban-FTP -j RETURN
-A fail2ban-SIP -j RETURN
-A fail2ban-SSH -j RETURN
-A fail2ban-apache-auth -j RETURN
-A fail2ban-recidive -j RETURN


И остаётся только:
Код: Выделить всё
-A fail2ban-aster-allport -j RETURN


Вопрос, какого болта это происходит? тут дело явно в логической ошибке работы встроенного firewall + fail2ban. Они явно вместе не могут сотрудничать вменяемо. из этого возникает вопрос. Отключить встроенный firewall и оставить только fail2ban как вменяемый механизм или можно как то просто починить руками.
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение ded » Чт мар 17, 2016 10:50 pm

Все цепочки fail2ban-aster-allport - настраиваются из вэб интерфейса FreePBX, модуль sysadmin, файл jail.local который не рекомендуют править руками..
ded
Специалист
 
Сообщения: 4276
Зарегистрирован: Сб май 03, 2008 2:47 am

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Пт мар 18, 2016 5:35 pm

ded писал(а):Все цепочки fail2ban-aster-allport - настраиваются из вэб интерфейса FreePBX, модуль sysadmin, файл jail.local который не рекомендуют править руками..

И? Дальше то что? Это как то даёт ответ на мой вопрос?
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение ded » Пт мар 18, 2016 6:18 pm

Это как то даёт ответ на Ваш вопрос
какого болта это происходит?
ded
Специалист
 
Сообщения: 4276
Зарегистрирован: Сб май 03, 2008 2:47 am

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Вт мар 22, 2016 9:01 pm

По итогу моё ИМХО:
1. Косяк в FreePBX 13
2. Лечится с дикими гимороями. Стоит подождать исправлений, а пока затычка в виде перезапуска fail2ban по таймеру.


Вообще мне не понятно, чем думали кодеры когда именно таким образом реализовали связку встроенного Forewall в FreePBX и fail2ban. Очевидно, что так жить не будет, логичней было бы из Firewall стартовать fail2ban последовательно или вообще в целом переписывать fail2ban под свои нужды.
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение ded » Вт мар 22, 2016 9:57 pm

мой Humble Opinion:
Стремление устанавливать самую-самую последнюю версию может быть оправдано если Вы участвуете посильно в разработке FreePBX, отправляя все баги на багтракер, и активно переписываясь с разработчиками.
Здесь на этом форуме таких нету, писать об этом тут смсла мало.
Ставить в эксплуатацию такую систему - неразумно, Вам ездить надо, а не шашечки.
ded
Специалист
 
Сообщения: 4276
Зарегистрирован: Сб май 03, 2008 2:47 am

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Вт мар 22, 2016 10:24 pm

на 99% согласен.... Но блин мой заказчик попробовал поюзать WEB морду 12 и 13. Сказал "Хочу" и только за это готов заплатить денег. Список баг я ему отписал, денег получил. Ну и ладненько... За сим и все остались счастливы :-)
Я конечно предложил переписать косяки за 80 тыр :-) Но тут "жаба задушила" :-)
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение Bethoven » Вс мар 27, 2016 12:37 pm

Всё там нормально стартует. Именно в самой последней версии. Вы зарегистрировали прогу-то? Оно работает только после регистрации и активации. Кроме того, в вэбе много настроек. Есть так называемый режим Safe. В нем фаерволл запускается через 5 мин. после ребута. Это исключительно для отладки. Полазайте по интерфейсу-то.
Bethoven
Специалист
 
Сообщения: 544
Зарегистрирован: Ср сен 18, 2013 10:18 pm
Карма: + 16 -

Re: FreePBX -> fail2ban не стартует после reboot

Сообщение baho_76 » Вс мар 27, 2016 1:16 pm

Bethoven писал(а):Всё там нормально стартует. Именно в самой последней версии. Вы зарегистрировали прогу-то? Оно работает только после регистрации и активации. Кроме того, в вэбе много настроек. Есть так называемый режим Safe. В нем фаерволл запускается через 5 мин. после ребута. Это исключительно для отладки. Полазайте по интерфейсу-то.

Да, я в курсе всех этих нюансов.
Всё стартуер (я с этим и не спорю).
Но после старта firewall (через 5 минут или позже, уже не важно), полностью зачищаются цепочки от fai2ban. В результате чего все события на детектирование попыток взлома fail2ban ловит, но внести в iptables не может.
Если вы пользуете именно 13-й, обратите внимание на этот нюанс.

Я написал скрипт, который просто каждую минуту проверяет наличие одной из цепочек от fai2ban в iptables, и если не находит, то делает банально рестарт для fail2ban.
Костыль инвалиду в помощь :-)
baho_76
Новичок
 
Сообщения: 8
Зарегистрирован: Вт дек 24, 2013 4:34 pm
Карма: + 0 -


Вернуться в Asterisk (*)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5