Acces IP local ne fonctionne plus par moment

Tony_Bigdream · Avril 13, 2023, 6:03

Bonjour,
Ces derniers temps il arrive que je ne puisse plus accéder à Jeedom depuis mon IP local 192.168.0.22 mais aucun soucis en externe.
L’ip de mon rpi3b+ est pourtant présente dans la liste des devices sur ma box wifi (sur ma freeebox et sur mon tp link).

Si je redémarre Jeedom ça fonctionne à nouveau.

J’ai parcouru quelques post et cela pourrait venir de fail2ban.
Je suis allé voir /etc/fail2ban/jail.d/jeedom.conf et j’ai étendu « ignoreip » sur une plage plus importante (de 192.168.0.1/20 à 192.168.0.1/50) vu que certain de mes devices WIFI dépassaient l’IP 192.168.0.20, j’ai aussi reduit le delais « bantime » de 28800s à 3600s
Par curiosoté je suis allé voir /var/www/html/log/http.error egalement et la y a plein de « client denied by server configuration » voici un petit aperçu :

[Thu Apr 13 16:38:06.521373 2023] [access_compat:error] [pid 11821] [client 109.237.98.226:33388] AH01797: client denied by server configuration: /var/www/html/.env
[Thu Apr 13 17:31:07.791487 2023] [php7:error] [pid 707] [client 27.124.12.16:52508] script '/var/www/html/92eb5ffee6.php' not found or unable to stat, referer: /92eb5ffee6.php?a=274
[Thu Apr 13 17:35:14.194786 2023] [access_compat:error] [pid 707] [client 179.43.142.86:56252] AH01797: client denied by server configuration: /var/www/html/.env
[Thu Apr 13 17:47:22.802703 2023] [access_compat:error] [pid 707] [client 39.108.138.206:45900] AH01797: client denied by server configuration: /var/www/html/cgi-bin
[Thu Apr 13 17:54:17.274561 2023] [access_compat:error] [pid 11821] [client 161.35.233.14:57984] AH01797: client denied by server configuration: /var/www/html/explore
[Thu Apr 13 18:10:06.514704 2023] [access_compat:error] [pid 26908] [client 109.206.243.131:51970] AH01797: client denied by server configuration: /var/www/html/.env
[Thu Apr 13 18:10:07.937946 2023] [access_compat:error] [pid 11834] [client 109.206.243.131:52617] AH01797: client denied by server configuration: /var/www/html/.env
[Thu Apr 13 18:10:15.093353 2023] [access_compat:error] [pid 2281] [client 109.206.243.131:57385] AH01797: client denied by server configuration: /var/www/html/vendor/phpunit
[Thu Apr 13 18:52:29.714490 2023] [access_compat:error] [pid 26908] [client 198.199.103.192:50908] AH01797: client denied by server configuration: /var/www/html/autodiscover
[Thu Apr 13 19:18:38.223736 2023] [core:notice] [pid 686] AH00052: child pid 31278 exit signal Segmentation fault (11)
[Thu Apr 13 19:18:38.486708 2023] [core:notice] [pid 686] AH00052: child pid 707 exit signal Segmentation fault (11)
[Thu Apr 13 19:18:38.488105 2023] [mpm_prefork:notice] [pid 686] AH00169: caught SIGTERM, shutting down
[Thu Apr 13 19:19:02.991019 2023] [mpm_prefork:notice] [pid 696] AH00163: Apache/2.4.38 (Raspbian) OpenSSL/1.1.1d configured -- resuming normal operations
[Thu Apr 13 19:19:02.992671 2023] [core:notice] [pid 696] AH00094: Command line: '/usr/sbin/apache2'

Voila donc si quelqu’un sait si cela est normal/anormal/grave/pas bien méchant je suis preneur

Mips · Avril 13, 2023, 6:45

192.168.0.1/20 ne veut pas dire que la dernière ip autorise est 192.168.0.20. C’est le masque. (Voir info notation CIDR sur le net)
Par exemple 192.168.0.1/24 couvrira jusque 192.168.0.254; c’est probablement ça que vous avez besoin si vous voulez autorisé votre réseau local.
Donc votre config est incorrecte.

C’est « normal » ce sont principalement des robots qui tentent d’accéder à votre jeedom. Inévitable puisqu’il est exposé sur internet.

Tony_Bigdream · Avril 13, 2023, 6:57

alors je dois remettre 192.168.0.1/20 si j’ai bien compris ?

Bison · Avril 13, 2023, 7:14

Nan, 192.168.0.1/24 pour couvrir l’ensemble des IP de 192.168.0.1 à 192.168.0.254

Mais ça aurait été intéressant de vérifier que ton IP était vraiment bannie quand ça arrive et puis surtout comprendre pourquoi ça arrive.

Tony_Bigdream · Avril 13, 2023, 7:18

Merci pour la précision, en effet je ne comprend pas pourquoi cela arrive. Comment savoir si mon ip fut banni ?

Bad · Avril 13, 2023, 7:25

Tony_Bigdream:

[Thu Apr 13 18:52:29.714490 2023] [access_compat:error] [pid 26908] [client 198.199.103.192:50908] AH01797: client denied by server configuration: /var/www/html/autodiscover
[Thu Apr 13 19:18:38.223736 2023] [core:notice] [pid 686] AH00052: child pid 31278 exit signal Segmentation fault (11)
[Thu Apr 13 19:18:38.486708 2023] [core:notice] [pid 686] AH00052: child pid 707 exit signal Segmentation fault (11)
[Thu Apr 13 19:18:38.488105 2023] [mpm_prefork:notice] [pid 686] AH00169: caught SIGTERM, shutting down
[Thu Apr 13 19:19:02.991019 2023] [mpm_prefork:notice] [pid 696] AH00163: Apache/2.4.38 (Raspbian) OpenSSL/1.1.1d configured -- resuming normal operations
[Thu Apr 13 19:19:02.992671 2023] [core:notice] [pid 696] AH00094: Command line: '/usr/sbin/apache2'

Moi ça m’inquiète ça !

Tu aurais le log http.access à partir de 18h stp ?
En .txt par message privé si tu veux bien

Bison · Avril 13, 2023, 7:29

cat /var/log/fail2ban.log | grep "192.168.0.5"

Si l’IP de ton client était 192.168.0.5

Et voir s’il y a d’autres fichiers de fail2ban.log dans le répertoire, je n’ai pas été voir

Tony_Bigdream · Avril 13, 2023, 7:37

J’ai tapé cat /var/log/fail2ban.log | grep « 192.168.0.22 » mais ca fait rien du tout je comprend pas.
Y a qu’un seul fichier quand je recherche fail2ban

Bison · Avril 13, 2023, 8:01

Ah oui, essaye avec sudo en plus
sudo cat /var/log/fail2ban.log | grep "192.168.0.22"

Et puis je viens de regarder, il y a d’autres fichiers : sudo ls /var/log/fail2ban*

Du coup il faut lancer la même commande sut les autres mais pour les .gz il faut les décompresser avant donc sudo gunzip /var/log/fail2ban.log.2.gz par exemple

Tony_Bigdream · Avril 13, 2023, 8:15

sudo cat /var/log/fail2ban.log | grep « 192.168.0.22 » => ne donne rien non plus
sudo gunzip /var/log/fail2ban.log.2.gz => idem

Bison · Avril 13, 2023, 8:56

C’est pas forcement sensé « donner quelque chose ». Si ton IP était dans le log tu le verrais.

Tapes juste sudo cat /var/log/fail2ban.log et tu verras les évènements avec les IP bloquées
La commande gunzip a, normalement, décompressé le fichier et donc mis à disposition le fichier /var/log/fail2ban.log.2 dans lequel tu pourras regarder avec la même commande que celle du dessus.

Tu comprends ?

Tony_Bigdream · Avril 13, 2023, 9:00

Je ne comprend pas totalement ce que je fais pour être honnête. La commande sudo cat /var/log/fail2ban.log donne :

2023-04-09 00:00:02,131 fail2ban.server         [575]: INFO    rollover performed on /var/log/fail2ban.log
2023-04-12 21:17:21,793 fail2ban.server         [582]: INFO    ---------------------------------------------                                              -----
2023-04-12 21:17:21,801 fail2ban.server         [582]: INFO    Starting Fail2ban v0.10.2
2023-04-12 21:17:21,840 fail2ban.database       [582]: INFO    Connected to fail2ban persistent database '/v                                              ar/lib/fail2ban/fail2ban.sqlite3'
2023-04-12 21:17:21,874 fail2ban.jail           [582]: INFO    Creating new jail 'sshd'
2023-04-12 21:17:22,013 fail2ban.jail           [582]: INFO    Jail 'sshd' uses pyinotify {}
2023-04-12 21:17:22,027 fail2ban.jail           [582]: INFO    Initiated 'pyinotify' backend
2023-04-12 21:17:22,031 fail2ban.filter         [582]: INFO      maxLines: 1
2023-04-12 21:17:22,172 fail2ban.server         [582]: INFO    Jail sshd is not a JournalFilter instance
2023-04-12 21:17:22,179 fail2ban.filter         [582]: INFO    Added logfile: '/var/log/auth.log' (pos = 220                                              2612, hash = 3684a4608ed5468b11b15072a6f0f53bd391d152)
2023-04-12 21:17:22,196 fail2ban.filter         [582]: INFO      encoding: UTF-8
2023-04-12 21:17:22,197 fail2ban.filter         [582]: INFO      maxRetry: 5
2023-04-12 21:17:22,198 fail2ban.filter         [582]: INFO      findtime: 600
2023-04-12 21:17:22,201 fail2ban.actions        [582]: INFO      banTime: 600
2023-04-12 21:17:22,207 fail2ban.jail           [582]: INFO    Jail 'sshd' started
2023-04-13 01:09:32,296 fail2ban.filter         [582]: INFO    [sshd] Found 192.168.0.23 - 2023-04-13 01:09:                                              32
2023-04-13 01:09:34,009 fail2ban.filter         [582]: INFO    [sshd] Found 192.168.0.23 - 2023-04-13 01:09:                                              34
2023-04-13 19:18:38,298 fail2ban.server         [582]: INFO    Shutdown in progress...
2023-04-13 19:18:38,301 fail2ban.server         [582]: INFO    Stopping all jails
2023-04-13 19:18:38,303 fail2ban.filter         [582]: INFO    Removed logfile: '/var/log/auth.log'
2023-04-13 19:18:38,424 fail2ban.actions        [582]: NOTICE  [sshd] Flush ticket(s) with iptables-multipor                                              t
2023-04-13 19:18:39,513 fail2ban.jail           [582]: INFO    Jail 'sshd' stopped
2023-04-13 19:18:39,516 fail2ban.database       [582]: INFO    Connection to database closed.
2023-04-13 19:18:39,517 fail2ban.server         [582]: INFO    Exiting Fail2ban
2023-04-13 19:19:02,405 fail2ban.server         [589]: INFO    ---------------------------------------------                                              -----
2023-04-13 19:19:02,413 fail2ban.server         [589]: INFO    Starting Fail2ban v0.10.2
2023-04-13 19:19:02,466 fail2ban.database       [589]: INFO    Connected to fail2ban persistent database '/v                                              ar/lib/fail2ban/fail2ban.sqlite3'
2023-04-13 19:19:02,490 fail2ban.jail           [589]: INFO    Creating new jail 'sshd'
2023-04-13 19:19:02,657 fail2ban.jail           [589]: INFO    Jail 'sshd' uses pyinotify {}
2023-04-13 19:19:02,680 fail2ban.jail           [589]: INFO    Initiated 'pyinotify' backend
2023-04-13 19:19:02,684 fail2ban.filter         [589]: INFO      maxLines: 1
2023-04-13 19:19:02,857 fail2ban.server         [589]: INFO    Jail sshd is not a JournalFilter instance
2023-04-13 19:19:02,872 fail2ban.filter         [589]: INFO    Added logfile: '/var/log/auth.log' (pos = 309                                              7252, hash = 3684a4608ed5468b11b15072a6f0f53bd391d152)
2023-04-13 19:19:02,888 fail2ban.filter         [589]: INFO      encoding: UTF-8
2023-04-13 19:19:02,889 fail2ban.filter         [589]: INFO      maxRetry: 5
2023-04-13 19:19:02,891 fail2ban.filter         [589]: INFO      findtime: 600
2023-04-13 19:19:02,892 fail2ban.actions        [589]: INFO      banTime: 600
2023-04-13 19:19:02,899 fail2ban.jail           [589]: INFO    Jail 'sshd' started
2023-04-13 19:21:16,286 fail2ban.transmitter    [589]: WARNING Command ['status', 'apach-multiport'] has fai                                              led. Received UnknownJailException('apach-multiport')
2023-04-13 22:50:17,842 fail2ban.server         [589]: INFO    Shutdown in progress...
2023-04-13 22:50:17,843 fail2ban.server         [589]: INFO    Stopping all jails
2023-04-13 22:50:17,844 fail2ban.filter         [589]: INFO    Removed logfile: '/var/log/auth.log'
2023-04-13 22:50:17,943 fail2ban.actions        [589]: NOTICE  [sshd] Flush ticket(s) with iptables-multipor                                              t
2023-04-13 22:50:17,944 fail2ban.jail           [589]: INFO    Jail 'sshd' stopped
2023-04-13 22:50:17,945 fail2ban.database       [589]: INFO    Connection to database closed.
2023-04-13 22:50:17,946 fail2ban.server         [589]: INFO    Exiting Fail2ban
2023-04-13 22:50:18,865 fail2ban.server         [29941]: INFO    -------------------------------------------                                              -------
2023-04-13 22:50:18,866 fail2ban.server         [29941]: INFO    Starting Fail2ban v0.10.2
2023-04-13 22:50:18,883 fail2ban.database       [29941]: INFO    Connected to fail2ban persistent database '                                              /var/lib/fail2ban/fail2ban.sqlite3'
2023-04-13 22:50:18,890 fail2ban.jail           [29941]: INFO    Creating new jail 'sshd'
2023-04-13 22:50:18,977 fail2ban.jail           [29941]: INFO    Jail 'sshd' uses pyinotify {}
2023-04-13 22:50:18,997 fail2ban.jail           [29941]: INFO    Initiated 'pyinotify' backend
2023-04-13 22:50:19,004 fail2ban.filter         [29941]: INFO      maxLines: 1
2023-04-13 22:50:19,177 fail2ban.server         [29941]: INFO    Jail sshd is not a JournalFilter instance
2023-04-13 22:50:19,181 fail2ban.filter         [29941]: INFO    Added logfile: '/var/log/auth.log' (pos = 3                                              282116, hash = 3684a4608ed5468b11b15072a6f0f53bd391d152)
2023-04-13 22:50:19,201 fail2ban.filter         [29941]: INFO      encoding: UTF-8
2023-04-13 22:50:19,203 fail2ban.filter         [29941]: INFO      maxRetry: 3
2023-04-13 22:50:19,205 fail2ban.filter         [29941]: INFO      findtime: 7200
2023-04-13 22:50:19,207 fail2ban.actions        [29941]: INFO      banTime: 28800
2023-04-13 22:50:19,217 fail2ban.jail           [29941]: INFO    Creating new jail 'apache-noscript'
2023-04-13 22:50:19,217 fail2ban.jail           [29941]: INFO    Jail 'apache-noscript' uses pyinotify {}
2023-04-13 22:50:19,235 fail2ban.jail           [29941]: INFO    Initiated 'pyinotify' backend
2023-04-13 22:50:19,264 fail2ban.filter         [29941]: INFO    Added logfile: '/var/www/html/log/http.erro                                              r' (pos = 0, hash = 64a9107915a6344caafa4fe68c5ac73023243353)
2023-04-13 22:50:19,366 fail2ban.filter         [29941]: INFO      encoding: UTF-8
2023-04-13 22:50:19,368 fail2ban.filter         [29941]: INFO      maxRetry: 1
2023-04-13 22:50:19,369 fail2ban.filter         [29941]: INFO      findtime: 7200
2023-04-13 22:50:19,370 fail2ban.actions        [29941]: INFO      banTime: 28800
2023-04-13 22:50:19,377 fail2ban.jail           [29941]: INFO    Creating new jail 'apache-overflows'
2023-04-13 22:50:19,378 fail2ban.jail           [29941]: INFO    Jail 'apache-overflows' uses pyinotify {}
2023-04-13 22:50:19,394 fail2ban.jail           [29941]: INFO    Initiated 'pyinotify' backend
2023-04-13 22:50:19,411 fail2ban.filter         [29941]: INFO    Added logfile: '/var/www/html/log/http.erro                                              r' (pos = 0, hash = 64a9107915a6344caafa4fe68c5ac73023243353)
2023-04-13 22:50:19,424 fail2ban.filter         [29941]: INFO      encoding: UTF-8
2023-04-13 22:50:19,425 fail2ban.filter         [29941]: INFO      maxRetry: 2
2023-04-13 22:50:19,427 fail2ban.filter         [29941]: INFO      findtime: 7200
2023-04-13 22:50:19,429 fail2ban.actions        [29941]: INFO      banTime: 28800
2023-04-13 22:50:19,439 fail2ban.jail           [29941]: INFO    Creating new jail 'apache-botsearch'
2023-04-13 22:50:19,439 fail2ban.jail           [29941]: INFO    Jail 'apache-botsearch' uses pyinotify {}
2023-04-13 22:50:19,457 fail2ban.jail           [29941]: INFO    Initiated 'pyinotify' backend
2023-04-13 22:50:19,493 fail2ban.filter         [29941]: INFO    Added logfile: '/var/www/html/log/http.erro                                              r' (pos = 0, hash = 64a9107915a6344caafa4fe68c5ac73023243353)
2023-04-13 22:50:19,504 fail2ban.filter         [29941]: INFO      encoding: UTF-8
2023-04-13 22:50:19,505 fail2ban.filter         [29941]: INFO      maxRetry: 6
2023-04-13 22:50:19,507 fail2ban.filter         [29941]: INFO      findtime: 7200
2023-04-13 22:50:19,508 fail2ban.actions        [29941]: INFO      banTime: 28800
2023-04-13 22:50:19,521 fail2ban.jail           [29941]: INFO    Jail 'sshd' started
2023-04-13 22:50:19,524 fail2ban.jail           [29941]: INFO    Jail 'apache-noscript' started
2023-04-13 22:50:19,528 fail2ban.jail           [29941]: INFO    Jail 'apache-overflows' started
2023-04-13 22:50:19,531 fail2ban.jail           [29941]: INFO    Jail 'apache-botsearch' started

Et la commande avec /var/log/fail2ban.log.2 donne :

2023-03-26 00:00:02,669 fail2ban.server         [575]: INFO    rollover performed on /var/log/fail2ban.log

Dans la premiere je vois une IP proche de celle mon Jeedom apparaitre :

2023-04-13 01:09:32,296 fail2ban.filter         [582]: INFO    [sshd] Found 192.168.0.23 - 2023-04-13 01:09:                                              32
2023-04-13 01:09:34,009 fail2ban.filter         [582]: INFO    [sshd] Found 192.168.0.23 - 2023-04-13 01:09:

ngrataloup · Avril 13, 2023, 9:12

Inutile d’aller chercher dans des logs, il y a des commandes pour voir ce qui est banni.

Pour voir tous les ban

sudo fail2ban-client banned

Par jail :

sudo fail2ban-client get <JAIL> banned

Et pour debannir:

fail2ban-client set <JAIL> unbanip <IP>

Norbert

Tony_Bigdream · Avril 13, 2023, 9:14

Salut Norbert

Le premier :

pi@jeedom:~ $ sudo fail2ban-client banned
 NOK: ('Invalid command',)
Invalid command

Le deuxieme :

pi@jeedom:~ $ sudo fail2ban-client get <JAIL> banned
-bash: JAIL: No such file or directory

ngrataloup · Avril 13, 2023, 9:23

que donne ?

sudo fail2ban-client status

Tony_Bigdream · Avril 13, 2023, 9:23

pi@jeedom:~ $ sudo fail2ban-client status
Status
|- Number of jail:      4
`- Jail list:   apache-botsearch, apache-noscript, apache-overflows, sshd

ngrataloup · Avril 13, 2023, 9:26

fail2ban-client get apache-noscript banned

et

fail2ban-client get apache-overflows banned

Tony_Bigdream · Avril 13, 2023, 9:35

pi@jeedom:~ $ fail2ban-client get apache-noscript banned
 Permission denied to socket: /var/run/fail2ban/fail2ban.sock, (you must be root)

du coup j’ai fait

pi@jeedom:~ $ sudo fail2ban-client get apache-noscript banned
 NOK: ('Invalid command (no get action or not yet implemented)',)
Invalid command (no get action or not yet implemented)
pi@jeedom:~ $

et

pi@jeedom:~ $ sudo fail2ban-client get apache-overflows banned
 NOK: ('Invalid command (no get action or not yet implemented)',)
Invalid command (no get action or not yet implemented)

ngrataloup · Avril 13, 2023, 9:39

tu es sur quelle version de debian ?

Tony_Bigdream · Avril 13, 2023, 9:40

Debian 10.11