Hallo Dirk,
nftables ist der Nachfolger von iptables. So wird zu Beispiel bei debian
empfohlen innerhalb von 2 Jahren auf nftables umzusteigen. Debian 11
wird vorauss. schon kein iptables mehr haben. Siehe auch [1],
Redhat verwendet jetzt schon per default nftables und bei suse ist die
Umstellung auch geplant [2].
Aber kein Grund zur Hektik. Eisfair != Debian :)

Wenn du dir das mal anschauen willst wie deine Einträge dann aussehen
mach mal auf der Konsole
iptables-save ->/tmp/ipt
iptables-restore-translate -f /tmp/ipt >/tmp/nft
less /tmp/nft

So sieht das dann denächst aus. :)

Wenn du BCN nutzt, lass aber noch iptables. nftabels kann noch kein
geoip mittels Modulen.
siehe [3]
Wenn ich BCN dann angepasst habe gebe ich hier Bescheid.
Jupp, das ist schon seit einiger Zeit so. Ich glaube kurz nach
Einführung von udev :)
[1]
https://www.computerweekly.com/de/ratgeber/nftables-versus-iptables-Das-muessen-Linux-Admins-beachten
[2] https://www.linux-magazin.de/news/iptables-1-8-setzt-auf-nftables/
[3] http://wiki.nftables.org/wiki-nftables/index.php/GeoIP_matching

Hallo Kay,
Was hat sich denn geändert so dass du es nicht mehr einsetzen kannst?
Korrekt. BFB blockiert Angreifer-IP's aus dem Internet in Richtung EIS.
Es gibt aber auch User, die eine Linux/fli4l-Firewall davor haben und
die IP dort schon gern blocken möchten, was auch durchaus Sinn macht.
Lt Doku:
BFB_MONITOR_BOT_ATTACK
Soll BFB auch auf SSH-Attacken von einem BOT-Net aus ueberwachen?
Das bedeutet, dass die brute-force-attacke nicht mehr von einer einzelnen
IP-Adresse kommt, sondern zeitgleich von mehrere Adressen, so dass das
sperren einer einzelnen IP-Adresse nicht moeglich ist, bzw. keine Erfolg
bringen wuerde.
Deshalb wird beim Detektieren von BFB_MONITOR_BOT_ATTACK_ATTEMPTS
fehlerhaften Login versuchen der komplette SSH-Port gesperrt.
Damit man sich trotzdem einloggen kann, kann man eine IP-Range bzw.
einzelne IPs eintragen, welche weiterhin Zugang haben.
Das betrifft die Variable BFB_REQUEST_BLOCKS_VIA_WEBSERVER.
Hier kann man über ein Webinterface sehen welche IP-Adressen geblockt
sind und weshalb.
Auch hier die Doku:
BFB_SEND_ATTACKER_TO_TWITTER
Sendet Angreifer-IP, angegriffenen Servic und die Uhrzeit an den
Twitteraccount http://twitter.com/EIS_BFB damit BFB diese bei allen anderen
Usern proaktiv blocken kann. Das atma.es script ruft diese Daten ab und
blockiert die IP's schon bevor der Hacker einen Angriff auf den eigenen
Server
startet.

Für die Proaktiv-Funktion wird(wurde) dieser und auch noch andere
Twitteraccounts per commandlinebrowser abgefragt und die IP-Adressen
proaktiv gesperrt.
Wenn du diese Funktion eingeschaltet hast sendet BFB einen festgelegten
Text an den o.g. Account. Das nutzen einige Nutzer und einige nicht.
Jeder wie er gerne möchte.
Fakt ist wenn du das aktiviert hast und von der ip-Adresse 266.266.266.2
(ich weiß, gibbet nicht) angeriffen wirst sendest du das an diesen
Account und ein anderes User profitiert davon weil diese IP bei ihm auch
gesperrt wird wenn er BFB_BLOCK_PROACTIVE_FROM_ATMA aktiviert hat. Der
Begriff atma resultiert aus meinen 1.Versuchen damit und befragte (mit
Genehmigung) den Twitteraccount von atma_es.
Mit links, lynx, wget oder curl lässt sich twitter aber leider nicht
mehr abfragen weil nur noch javascript erlaubt ist. Probiere es aus:
lynx/links/curl https://twitter.com/EIS_BFB.
Welche Tools? BFB benötigt nur iptables/nftables, ipcalc, binutils, ein
mailprogramm und einen Textbrowser. Mehr nicht. Wenn die Liste länger
ist, ist das eine Abhängigkeit eines dieser Programme. Da habe ich
keinen Einfluss drauf.


Gruß

Olaf

Am 20.06.2020 um 21:46 schrieb Kay Martinen:

Hallo Kay,
...
...
...
...
...
ich bin ja für gewöhnlich nicht so und etwas entspannter aber jetzt muss
es auch mal sein.
Meinst Du nicht selbst, dass ein gewisses Grundmaß an lesen der Doku
angebracht wäre. Die Doku wurde erst vor kurzem überarbeitet und erklärt
BFB und seine einzelnen Funktionen sehr genau.
Viele Grüße
Detlef Paschke