fail2ban missing whois program

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
juerg
Beiträge: 3
Registriert: 18. Jun 2012, 07:20

fail2ban missing whois program

Beitrag von juerg » 1. Nov 2016, 13:17

Ich habe ein sonderbares Problem mit meinem fail2ban auf meinem debian 8.5 Server. Bis vor kurzem gab mir jede Email von fail2ban jeweisl die Angaben aus der whois Anfrage korrekt aus.

Ich habe nun diverse Länder IP per country.block.iptables.sh zusätzlich gesperrt. Darunter auch die USA und viele andere.
Rufe ich nun whois direckt vom Server auf, klappt das nur noch bei einigen wenigen IP Adressen. Ich nehme an, nur noch von solchen, welche nicht per Country-Block gesperrt sind. Dieselben Abfragen klappen aber von meinem Arbeitplatz PC aus wunderbar.

Wenn ich nun davon ausgehe, dass es daran lieg, dass die whois Abfrage nur funktioniert, wenn die IP noch nicht gesperrt ist, dann frage ich mich, wie denn fail2ban diese Abfrage erledigt, wo diese doch gesperrt wurde??

Die Ausgabe in der COmmando Zeile sieht dann so aus:

# whois 62.210.161.141
connect: Das Netzwerk ist nicht erreichbar

Und in der Mail von fail2ban steht:

Here is more information about 62.210.161.141:

missing whois program

"missing" ist hier mit Sicherheit falsch, da ja andere Anfragen funktionieren.

Irgend jemand eine Idee??

Benutzeravatar
Martin
Beiträge: 397
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: fail2ban missing whois program

Beitrag von Martin » 1. Nov 2016, 18:09

Hi,

in der Datei /etc/fail2ban/action.d/sendmail-whois-lines.conf ist der Eintrag eingetragen, welches Whois-Programm verwendet wird.
Evtl. dort einfach den Pfad anpassen oder z.B. jwhois installieren.

Was ich einmal bei einem vServer hatte, war, das er die Whois-Server nicht erreichen konnte. Da hat dann geholfen in der /etc/hosts-Datei die Ips der Whois-Server der einzelnen Rirs einzeln einzutragen.
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

juerg
Beiträge: 3
Registriert: 18. Jun 2012, 07:20

Re: fail2ban missing whois program

Beitrag von juerg » 2. Nov 2016, 00:37

Ja danke erstmal. Das ist auch meine Absicht betreffen /etc/hosts. Nur - Frage wo finde ich die IP der entprechenen Rirs? Steh grad etwas im Regen. Kann ich die per whois Befehl zum Test auch direkt angeben? Hab sowas ähnliches nämlich eben getestet ohne Erfolg.

Code: Alles auswählen

# whois -h whois.de.ampr.org 62.98.139.116
whoisd 3.0.6-amprnet-20130611

% This is the DL-IP-Coordination and AS-network information service
% for the German part of ampr.org HAMNET. All the data that is visible
% in this whois service is protected by law. It is strictly forbidden
% to use it for any purpose other than technical or administrative
% requirements associated with the operation of the HAMNET.

Searching for 62.98.139.116.  
No records matching 62.98.139.116 found.
Mein lokales " whois 62.98.139.116" ergibt dazu jede Menge infos.

juerg
Beiträge: 3
Registriert: 18. Jun 2012, 07:20

Re: fail2ban missing whois program

Beitrag von juerg » 2. Nov 2016, 09:17

Ok ich habe eine andere Lösung nun uns zwar mache ich folgendes:
In den entsprechenden /action.d/....conf die Zeile mit dem whois ergänzen. Sieht so aus dann:
`ssh <user>@<die ip eines server der per ssh-key erreibar ist> 'whois <ip>' || echo missing whois program`\n\n

Klappt einwandfrei

Und weg

Antworten