Lieber Jörg, liebe Mitdenker, liebe Wissende, liebe Neugierige,

ja!

Kann mir da jemand mit Praxiserfahrung weiterhelfen?

fw_block:

#! /bin/sh sudo iptables -A INPUT -s $1 -j DROP sudo iptables -L INPUT

#! /bin/sh sudo iptables -D INPUT -s $1 -j DROP sudo iptables -L INPUT

fail2ban-apache  tcp  --  anywhere             anywhere             multiport dports http,https fail2ban-ssh_root  tcp  --  anywhere             anywhere             multiport dports ssh fail2ban-ssh-ddos  tcp  --  anywhere             anywhere             multiport dports ssh fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh fail2ban-apache  tcp  --  anywhere             anywhere             multiport dports http,https fail2ban-ssh_root  tcp  --  anywhere             anywhere             multiport dports ssh fail2ban-ssh-ddos  tcp  --  anywhere             anywhere             multiport dports ssh fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh DROP       all  --  27.153.0.0/16        anywhere DROP       all  --  61.167.0.0/16        anywhere DROP       all  --  0.0.174.61.dial.tz.zj.dynamic.163data.com.cn/16  anywhere DROP       all  --  69.174.240.0/20      anywhere DROP       all  --  83.170.64.0/19       anywhere DROP       all  --  91.199.247.0/24      anywhere DROP       all  --  116.8.0.0/14         anywhere DROP       all  --  117.21.0.0/16        anywhere DROP       all  --  121.101.0.0/18       anywhere DROP       all  --  122.225.109.0/24     anywhere DROP       all  --  183.0.0.0/10         anywhere DROP       all  --  217.6.222.96/27      anywhere

Nur leider musst Du das Netz ggf. selbst ermitteln. whois hilft da nicht immer weiter.

Das heißt dann aber, dass ich selber in IP-Tables eingreifen muss?

Ich habe bisher die Blacklist von fail2ban benutzt. Die wurde von mir zusätzlich eingerichtet. Leider sind die Anleitungen dazu sehr unterschiedlich. Ich habe z.B. keine Datei jail.conf oder jail.local, wie sie in einzelnen Anleitungen erwähnt wird.

Eine Änderung von ip.blacklist wird aber trotzdem von fail2ban registriert ("INFO Logrotate in ip.blacklist"), die Datei muss dem Server also bekannt sein.

Leider kann ich nicht erkennen, ob die eingetragenen IPs nun dauerhaft gesperrt bleiben, denn Zugriffe von diesen werden immer noch im fail2ban.log registriert mit "ban" und "unban".

Ich würde es begrüßen, wenn ich Änderungen (Sperrungen) auf die Datei ip.blacklist beschränken könnte, da diese automatisch erweritert werden könnte, bzw. mittels eines kleinen Frontends, das ich mir erstellt habe.

Spirituelle Grüße Euer Robert