[Eisfair] bfb: wird geblockt oder nicht?
Olaf Jaehrling
eisfair at ojaehrling.de
Mo Jul 24 21:26:40 CEST 2023
Hallo Rolf,
Rolf Bensch schrieb am 24.07.23 um 09:13:
> Hallo Olaf,
>>
>> Weil die "10" nicht Minuten, sondern Sekunden bedeuten.
>
> Ups, okay, das war meine Stolperfalle. Könntest Du das bitte im Help und
> Doku so eintragen?
Jupp, mache ich.
>
>>
>>> BFB_ATTACK_TIMES = 3
>>> BFB_MAX_BLOCKING_TIME_MINUTES = 90
>>>
>>> Die Fragen:
> Jul 23 01:20:20 eis64-3 kernel: ATTACKER:IN=enx525400b7e655 OUT=
> MAC=52:54:00:b7:e6:55:44:4e:6d:d8:d0:2a:08:00 SRC=79.110.49.229
> DST=192.168.0.207 LEN=52 TOS=0x02 PREC=0x00 TTL=119 ID=35194 DF
> PROTO=TCP SPT=54118 DPT=25 WINDOW=64240 RES=0x00 CWR ECE SYN URGP=0
> Jul 23 01:25:00 eis64-3 BFB[23795]: 79.110.49.229 wieder freigeschaltet.
> Jul 23 01:25:11 eis64-3 BFB[24578]: address 79.110.49.229 blocked
> after 5 attempt to abuse MAIL
> Jul 23 01:30:00 eis64-3 BFB[15943]: 79.110.49.229 wieder freigeschaltet.
Das ist eine sehr gute Frage. Evlt. hat sich da was bei iptables
geändert. Das muss ich mir mal ansehen.
>
> Weshalb wird hier "wieder freigeschaltet"? Habe in
> BFB_BLOCK_AGGRESSIVE_IP4 einen Wert "79.110.49.202/32" stehen, das
> sollte o.g. IP aber nicht tangieren. Andere Werte für "wieder
> freigeschaltet" entsprechen BFB_MAX_BLOCKING_TIME_MINUTES.
>
> B.t.w.: weshalb ist BFB_MAX_BLOCKING_TIME_MINUTES auf "10 - 99" Minuten
> begrenzt? Ich hätte kein Problem damit hier einen Wert von 720 o.ä.
Wenn du statt iptables nftables verwendest kannst du auch längere
Zeiträume eintragen. iptables kann nur bis 99 Minuten als Timer verwenden.
Wenn du eine frische Attacke hast kannst du dir das ja mal anschauen
mittels iptables-save | grep $IP dann müsstest du die Zeit sehen, wenn
wieder freigeschaltet wird. Beachte aber, dass die Zeit in UTC
eingetragen ist.
Gruß
Olaf
> einzutragen.
>
> Grüße
>
> Rolf
--
Paketserver: https://ojaehrling.de/eis/index.txt
Mehr Informationen über die Mailingliste Eisfair