ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100

Und noch ein Eintrag aus der Rubrik „Fehlermeldungen verstehen“ ­čśë

Nachdem ich einen neuen VServer mit ISPConfig3 aufgesetzt habe, habe ich mir zum ersten Mal genauer das fail2ban Logfile angesehen. fail2ban ist ein Tool das die Frequenz von Zugriffen auf den Server registriert und automatisch ├╝ber die systemeigene Firewall mit iptables einzelne IP-Adressen sperrt wenn diese zu h├Ąufig zugreifen wollen. An sich eine sch├Âne Erleichterung f├╝r den Sysadmin.

Nun aber zur Fehlermeldung:

ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100

Hei├čt so viel wie „iptables funktioniert nicht“. Ein einfacher Test gibt Aufschluss ├╝ber den Hintergrund. Einfach in der Kommandozeile mal folgendes eingeben:

modprobe ip_tables

Wenn dann sowas hier kommt

FATAL: Could not load /lib/modules/2.6.36.4-vs2.3.0.36.39-netcup/modules.dep: No such file or directory

bedeutet das, dass iptables nicht geladen wurde und somit auch nicht zur Verf├╝gung steht.

Wie man in der Fehlermeldung sieht, steht besagter Server bei Netcup. Hier soll es angeblich eine M├Âglichkeit geben dennoch auf iptables zuzugreifen. Ich werde das mal recherchieren und bei Erfolg hier nachtragen. Ansonsten scheint es aber ├╝blich zu sein, dass man keinen Zugriff auf iptables auf einem VServer bekommt.

Weitere Quellen sagen jedoch ohnehin aus, dass fail2ban nicht unbedingt das beste St├╝ck Software ist und gerne auch die Serversicherheit ein wenig runter schraubt. Ich kann das nicht best├Ątigen und lasse diese Aussage somit einfach mal im Raum stehen, w├╝rde mich aber ├╝ber fachliche Kommentare dazu sehr freuen.

Meine L├Âsung:
Bisher hab ich noch keine. Ich werde mir mal ein h├╝bsches Script ├╝berlegen, was die Zugriffe ├╝berwacht und mich dann entsprechend per Mail informiert oder sowas in der Richtung. Auch hier bin ich f├╝r jegliche L├Âsungsvorschl├Ąge dankbar.

[EDIT]
In den FAQ von Netcup steht, dass man den Support kontaktieren soll wenn man iptables freigeschaltet haben m├Âchte. Dies habe ich eben getan und warte nun gespannt auf Antwort. W├Ąr nat├╝rlich ne feine Sache wenn das klappen w├╝rde.

[EDIT 2]
Da hatte ich wohl was falsch verstanden. iptables steht prinzipiell nicht zur Verf├╝gung. Netcup arbeitet aber bereits an einer eigenen API f├╝r das vservercontrollpanel. Dadurch wird es m├Âglich sein, fail2ban direkt auf diese API zugreifen zu lassen.
Ein Kollege von mir hat sich jedoch die Arbeit gemacht und f├╝r die ├ťbergangszeit ein Script geschrieben mit dem das jetzt schon ohne API funktioniert. Das Script gibts hier:
http://blog.n-durch-x.de/2011/07/fail2ban-auf-netcup-vservern/
Funktioniert bislang tadellos auf meinem Server. Somit klappts dann auch mit fail2ban ­čśë

4 thoughts on “ERROR iptables -n -L INPUT | grep -q fail2ban-ssh returned 100

  1. portsentry ist auch sehr gut. Horcht auf definierte Ports und wenn wer dort connected wird via iptables die IP geblockt. Mit Whitelist Unterst├╝tzung.

    Typisch Hackangriffs-Ports, z.B.: SSH/FTP/Telnet etc… lass ich nie auf den Default Ports laufen… immer anderen non-default ports. Daf├╝r aber Portsentry. Nie wieder ein Server gehackt. Seit mindestens 10 Jahren ­čÖé

  2. Cool, klingt gut. Werd ich mir auf jeden Fall mal ansehen. Wenn das Ding bei Angriff auch bestimmte Aktionen durchf├╝hren kann, bekommts nen eigenen Beitrag. ­čśë

  3. Soweit ich das sehe, braucht portsentry ja auch iptables um korrekt zu funktionieren, richtig?
    Dann bringts mir ja leider wieder nix… schade, aber guter Einfall! ­čÖé

Schreibe einen Kommentar