Bonjour à tous,

J'ai une table qui sait inscrite dans ma liste de table Nftable.

Je me demande est-ce que fail2ban à la possibilité d'inscrire des règles dans nftable ?

Je vous mets la capture de la table qui sait inscrite. 

Bonjour,

Il n'inscrit pas une table, mais crée un chaîne et une règle (avec JUMP f2b-sshd comme cible) dans la chaîne INPUT.

Euhh, il a bien écrit "table ip filter".

Tu sais je n'ai rien écrit de tout ce que tu vois sur la capture, je ne l'ai écrit. Tout est apparu comme ça.

Moi j'ai fait une table, mais elle est de la famille inet et elle s'appelle filter aussi.

Dans ce cas, un peu de contexte serait le bienvenu:

Quelle est ta distro? As-tu un outil comme iptables-nft d'installé? Que retourne which iptables?

fail2ban écrit des règles dans le parefeu via une interface au travers d'actions (find / -path "*fail2ban/action.d/*.conf" 2>/dev/null). L'interface a utiliser est définie dans la conf de fail2ban normalement dans le fichier jail.conf (jail.local).

Ces fichiers de conf peuvent être différent selon les versions de fail2ban et les distributions. L'utilisation des tables ip et ip6 (venant d'iptables) à la place de inet reste la meilleure option de mon point de vue avec nftables car d'autres programmes utilisent toujours ces tables (comme Docker).

-
Edité par KoaTao 30 août 2021 à 23:13:43

Je suis sur debian 10, j'ai installé nftable et rien d'autre pour l'instant.

which iptables ne me renvoie rien vu que iptable n'est pas installé, dans le fichier de conf de fail2ban voila ce que j'ai mis.

-
Edité par snapzcorp 31 août 2021 à 1:25:02

find / -path "*fail2ban/action.d/*nftables*.conf" 2>/dev/null | while read file; do echo "$file"; cat "$file"; done

La table à utiliser devrait être configurée dans un de ces fichiers.

-
Edité par KoaTao 31 août 2021 à 20:52:53

je préférerais 

find / -path "*fail2ban/action.d/*nftables*.conf" -exec /bin/sh 'echo "$1"; cat "$1"' sh {} \; 2>/dev/null

dantonq a écrit:

je préférerais 

find / -path "*fail2ban/action.d/*nftables*.conf" -exec /bin/sh 'echo "$1"; cat "$1"' sh {} \; 2>/dev/null

Déjà, ton intervention est inutile (surtout que tu n'expliques même pas pourquoi est-ce mieux).

En plus ton script ne fonctionne pas (-exec /bin/sh -c 'echo "$0"; cat "$0"' {} \;)

Et enfin, lancer un nouveau shell pour chaque fichier trouvé n'a rien de mieux.

-
Edité par KoaTao 1 septembre 2021 à 8:08:57

1- je préfère tout faire faire par find, parce ta boucle while, si il y a un alinéa dans le nom d'un fichier, ne va considérer que la première partie du nom. C'est rare, mais ça arrive.
et étant donné que n'importe qui peut voir ta ligne de code, il est préférable qu'elle soit exemplaire*.

2- /bin/sh -c, un oubli.

3- pour des questions de cohérence entre le comportement d'un script et l'appel direct à sh, on assigne sh à $0.

4- "un shell" ! /bin/sh, ça ne coûte rien.

5- si tu préfères conserver une boucle :

find ... -print0 | while IFS='' read -d '' filename; do echo "$filename"; cat "$filename"; done

--

* à force d' "à peu près", on arrive vite à "n'importe quoi".

Trouve moi un seul fichier de conf avec un alinéa dans tous les fichiers de conf de fail2ban sur Debian 10. Si tu en es incapable, alors oui, ce que tu fais ne sers strictement à rien.

En plus, c'est juste une commande, pas un script là.

FYI, faire pop un shell fait augmenter la complexité en temps et en mémoire. Pour l'«exemplarité», tu repasseras.

EDIT Benzouye : language ...

-
Edité par Benzouye 13 septembre 2021 à 9:51:22

Dans aucun de ces fichiers j'ai trouvé une conf quelconque en rapport avec nftable

snapzcorp a écrit:

Dans aucun de ces fichiers j'ai trouvé une conf quelconque en rapport avec nftable

Si ces fichiers existent alors si, c'est exactement là que se configure les actions de fail2ban avec nftables. Poste leur contenu et on regardera ensemble.

EDIT Benzouye : Suppression partie polémique inutile.

-
Edité par Benzouye 13 septembre 2021 à 9:52:55