Como desbanir um IP corretamente com Fail2Ban

Estou usando o Fail2Ban em um servidor e estou me perguntando como desbancar um IP corretamente.

Sei que posso trabalhar diretamente com o IPTables: iptables -D fail2ban-ssh <number>

Mas não há uma maneira de fazer isso com o fail2ban-client?

Nos manuais que afirma algo como: fail2ban-client get ssh actionunban <IP>. Mas isso não funciona.

Além disso, não quero, /etc/init.d/fail2ban restartpois isso perderia todas as proibições da lista.

Com Fail2Ban anterior à v0.8.8:

fail2ban-client get YOURJAILNAMEHERE actionunban IPADDRESSHERE

Com Fail2Ban v0.8.8 e posterior:

fail2ban-client set YOURJAILNAMEHERE unbanip IPADDRESSHERE

A parte difícil é encontrar a prisão certa:

1. Use iptables -L -npara encontrar o nome da regra ...
2. ... use fail2ban-client statuspara obter os nomes reais da prisão. O nome da regra e o nome da prisão podem não ser os mesmos, mas deve ficar claro qual deles está relacionado a qual.

Como a v0.8.8 existe a unbanipopção ( actionunbannão é para essa finalidade). Ela pode ser acionada pelo setcomando; se você olhar a lista de opções, verá a sintaxe. Assim será (de cor, por favor, verifique):

fail2ban-client set ssh-iptables unbanip IPADDRESSHERE 

mais genérico:

fail2ban-client set JAILNAMEHERE unbanip IPADDRESSHERE

funciona para mim

Exemplo para SSH no modo interativo.

digite bash:

fail2ban-client -i

depois, no modo interativo, leia o status de uma prisão:

status sshd

você terá:

Status for the jail: ssh
|- Filter
|  |- Currently failed: 0
|  |- Total failed: 6
|  `- File list:    /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned: 2
   `- Banned IP list:   203.113.167.162

digite no modo interativo fail2ban:

set sshd unbanip 203.113.167.162

você terá:

203.113.167.162

significa que não está mais 203.113.167.162na lista de proibições.

A resposta do ukoda está errada:

Ligue fail2ban-clientsem parâmetros e você verá uma lista de comandos possíveis:

get JAIL actionunban ACT             

Isso obtém o comando unban para a ação ACT for JAIL.

Olhe para o parâmetro de ação da prisão que você definiu, você provavelmente tem uma ação do iptables e talvez um pouco mais como sendmail, whois ou o que quer. Portanto, caso sua ação tenha sido iptables, será assim:

fail2ban-client get JAIL actionunban iptables

e a resposta será:

iptables -D fail2ban-NAME -s IP -j DROP

Apenas mostrará o que você teria que escrever para um não-urbano. Não existe um comando unban em si.

Se 192.168.2.1 for banido

sudo iptables -L

Verifique em qual cadeia é banida, por exemplo

Cadeia fail2ban-sasl (1 referências)

DROP all - 192.168.2.1 em qualquer lugar

Então:

# to view the proper command for un-banning
sudo fail2ban-client get sasl actionunban
# actual command
iptables -D fail2ban-sasl -s 192.168.2.1 -j DROP

Você primeiro precisa obter o nome da prisão. Você pode obter a lista (na maioria dos casos, será apenas ssh jail):

fail2ban-client status

Depois de obter o nome da prisão, você pode verificar quais IPs estão sendo ignorados.

fail2ban-client get ssh ignoreip

Se o seu IP estiver na lista de ignorados, você poderá excluí-lo via:

fail2ban-client set ssh delignoreip your_ip_address
vi /etc/hosts.deny

Remova sua entrada de host:

fail2ban-client reload

Usando fail2ban v.0.8.6:

$ sudo fail2ban-client status # to reveal your JAIL name (mine is ssh)
$ sudo fail2ban-client set ssh delignoreip your_ip_address
$ sudo nano /etc/hosts.deny # delete your ip address
$ sudo fail2ban-client reload

infelizmente com a versão 0.8.2 do fail2ban-client o comando:

fail2ban-client get jail actionunban ipaddress

não corre. Para resolver o problema, a melhor opção é atualizar fail2ban para a versão mais recente e usar a nova opção:

unbanip

fail2ban-client set sshd unbanip ip_here

podia funcionar.

Se um IP estiver em várias cadeias, isso se tornará um problema.

uma linha para remover 192.168.1.2 de todas as cadeias:

 for jail in $(fail2ban-client status | grep 'Jail list:' | sed 's/.*Jail list://' | sed 's/,//g'); do fail2ban-client set $jail unbanip 192.168.1.2; done

um script para fazer o mesmo https://gist.github.com/yolabingo/c810db6fe7f8bfcb9eb4f6ffc531e474

Se você estiver executando a versão v0.10.2:

sudo fail2ban-client unban YOUR_IP_ADDRESS

Isto é da ajuda:

unban <IP> ... <IP> unbans <IP> (in all jails and database)

Confirmei que funcionava no meu caso quando provavelmente fui banido devido ao login do cliente ssh repetidamente com senha incorreta.