fail2ban-client status | sed -n 's/,//g;s/.*Jail list://p' | xargs -n1 fail2ban-client status

In dieser Anleitung gehe ich mal davon aus, dass fail2ban auf dem Server installiert und SASL, Courierauth und SSH „scharf geschaltet“ ist. Zusätzlich muss sudo installiert und konfiguriert werden.

aptitude install sudo

Anschließend in die Datei /etc/sudoers folgendes eintragen:

zabbix ALL=NOPASSWD: /sbin/iptables

Abspeichern und den Dienst neu starten.

/etc/init.d/sudo restart

Zuerst ein paar zusätzliche Parameter in die zabbix_agentd.conf einfügen:

echo "UserParameter=iptables.fail2ban-sasl[*],sudo iptables -L fail2ban-sasl |grep DROP |wc -l" >> /etc/zabbix/zabbix_agentd.conf
echo "UserParameter=iptables.fail2ban-courierauth[*],sudo iptables -L fail2ban-courierauth |grep DROP |wc -l" >> /etc/zabbix/zabbix_agentd.conf
echo "UserParameter=iptables.fail2ban-ssh[*],sudo iptables -L fail2ban-ssh |grep DROP |wc -l" >> /etc/zabbix/zabbix_agentd.conf

Nun sollte der Agent neu gestartet werden.

/etc/init.d/zabbix-agent restart

In Zabbix selbst kann nun ein entsprechendes Template erstellt werden. Ich habe dies Template mal als Datei zbx_export_templates.xml hier abgelegt.

Das Template kann anschliessend den einzelnen Hosts (mit Mailer Postfix/Courier) zugewiesen werden und die Daten werden ab dem Zeitpunkt erfasst. Wer mag kann nun noch entsprechende Trigger konfigurieren.

Mittels iptabels geht es wie folgt:
(für die Dienste http(s), pop3(s), imap(s), ftp und smtp(s))

sysctl net.ipv4.ip_forward=1
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination new-host-ip:80
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to-destination new-host-ip:443
iptables -t nat -A PREROUTING -p tcp --dport 587 -j DNAT --to-destination new-host-ip:587
iptables -t nat -A PREROUTING -p tcp --dport 110 -j DNAT --to-destination new-host-ip:110
iptables -t nat -A PREROUTING -p tcp --dport 143 -j DNAT --to-destination new-host-ip:143
iptables -t nat -A PREROUTING -p tcp --dport 465 -j DNAT --to-destination new-host-ip:465
iptables -t nat -A PREROUTING -p tcp --dport 995 -j DNAT --to-destination new-host-ip:995
iptables -t nat -A PREROUTING -p tcp --dport 993 -j DNAT --to-destination new-host-ip:993
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to-destination new-host-ip:25
iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to-destination new-host-ip:21
iptables -t nat -A POSTROUTING -j MASQUERADE

Mit diesem Zweizeiler kann man dies am einfachsten unterbinden:

iptables -A INPUT -p tcp --dport 8082 -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 8082 -j DROP

Nach einem kurzen Test sollten die Regeln natürlich Bootfest gemacht werden. Unter Debian gelingt das am einfachsten mit dem Paket netfilter-persistent .

Anstatt die Werte in eine CSV-Datei zu schreiben kann man auch ein kleines Plugin für check_mk schreiben. (Das Script aus obigen Link wird im Pfad /root/bin erwartet!)

pico /usr/lib/check_mk_agent/local/oc-traffic

#/bin/bash

TRAFFIC=$(/root/bin/owncloud-traffic --zero-chain)

OUT=$(echo $TRAFFIC |awk -F"," '{print $1}')
IN=$( echo $TRAFFIC |awk -F"," '{print $2}')

echo "0 OC_HTTPS_Traffic OUT=$OUT|IN=$IN; IN/OUT: - $IN/$OUT Bytes"

chmod +x /usr/lib/check_mk_agent/local/oc-traffic

Ich verzichte hier auf die Ausgabe von Datum und Uhrzeit und lasse check_mk nach jeder Wertermittlung die „Kette“ nullen (Parameter –zero-chain ). Ist das Script nun im Plugin-Pfad von check_mk gespeichert kann man den Host in WATO anpassen und die Services neu einlesen.
Nach ein paar Minuten sollten auch schon ansehnliche Grafiken erstellt werden.

Man sieht hier schön, dass der abgehende Traffic wesentlich mehr ist. Ein Upload (im Beispiel hier eines Bildes) wird auf mehrere Clients herunter geladen.

Als Beispiel möchte ich hier das Script so verwenden, dass es alle 5 Minuten den gemessenen Wert ausließt und die entsprechende „Kette“ bei iptables wieder leert. Der Wert wird dann inkl. Datum/Uhrzeit in ein Logfile (CSV-Format) geschrieben welches man nach belieben weiter verarbeiten kann.
Die entsprechenden „Ketten“ in iptables werden geprüft und bei Bedarf angelegt.

Mit dem Parameter –help wird eine kleine Hilfe ausgegeben

#/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin

# Autor: Knut Herter
# Web  : www.systemtechnics.de
# Date : 12/2015
# 
# This Script count the http(s) Traffic to the Owncloud Server and
# print output as CSV line.
#
# CSV-Header: Date, Time, Traffic-INPUT, Traffic-OUTPUT
#
# Example for usage with cron ( crontab -e ):
#
# */5 * * * * /root/bin/owncloud-traffic --date --time --zero-chain >> /var/log/owncloud-traffic.log
#
# Hint: set correct vars at crontab eg
#
# SHELL=/bin/bash
# PATH=/bin:/sbin:/usr/bin:/usr/sbin
#

#### do not change lines below ####

# Check ist iptables available
#
if [ ! `which iptables` ]; 
	then echo "IPTABLES not Found, Stop Script";
	exit 1
fi

IPT=`which iptables`
CHAIN_IN="TRAFFIC_IN"
CHAIN_OUT="TRAFFIC_OUT"
DATE=""
TIME=""
COUNT_OUT=""
COUNT_IN=""
LABEL_IN=""
LABEL_OUT=""

# Check if iptables chain exist
# $1 = chain to check
# return 0 if OK, 1 if not
#
function check_chain() {
	if ! iptables -nL $1 > /dev/null 2>&1  ; then
        	return 1
	fi
	return 0
}

# Print help for this script
#
function printhelp() {
	printf "\n\n"
	printf "$0 [parameters]\n"
	printf " --help\t\t this help\n"
	printf " --zero-chain\t set Traffic Chain to Zero\n" 
	printf " --date\t\t print date\n"
	printf " --time\t\t print timestamp\n"
	printf " --label-out\t print label for OUT-Bytes\n"
	printf " --label-in\t print label for IN-Bytes\n"
	printf "\n\n"
	exit 0
}

# check parameters
#
while [ $# -ne 0 ]
do
    arg="$1"
    case "$arg" in
        --zero-chain)
            ZERO=true
            ;;
        --help)
            printhelp
            ;;
        --date)
            DATE=$(date +"%F")","
            ;;
	--time)
	    TIME=$(date +"%H:%M")","
	    ;;
	--label-out)
	    LABEL_OUT="OUT="
	    ;;
	--label-in)
	    LABEL_IN="IN="
	    ;;
        *)
            nothing="true"
            ;;
    esac
    shift
done


# check if chain OUTPUT exist
#
if  ! check_chain $CHAIN_OUT ; then
	echo "Chain $CHAIN_OUT not found"
	echo "Configure iptables Chain OUTPUT"
	$IPT -N $CHAIN_OUT
	$IPT -I OUTPUT -j $CHAIN_OUT
	$IPT -A $CHAIN_OUT -p tcp -m multiport --sports 80,443
	$IPT -A $CHAIN_OUT -j RETURN
fi

# check if chain INPUT exist
#
if  ! check_chain $CHAIN_IN ; then
        echo "Chain $CHAIN_IN not found"
        echo "Configure iptables Chain INPUT"
        $IPT -N $CHAIN_IN
        $IPT -I INPUT -j $CHAIN_IN
        $IPT -A $CHAIN_IN -p tcp -m multiport --dports 80,443
	$IPT -A $CHAIN_IN -j RETURN
fi


COUNT_OUT=$(iptables -L $CHAIN_OUT -n -v -x | grep -v -i "return" | awk '$1 ~ /^[0-9]+$/ { printf "%d\n",$2 }')
COUNT_IN=$( iptables -L $CHAIN_IN  -n -v -x | grep -v -i "return" | awk '$1 ~ /^[0-9]+$/ { printf "%d\n",$2 }')



# if parameter --zero-chain .. 
if [ $ZERO ]; then
        $IPT -Z $CHAIN_OUT
        $IPT -Z $CHAIN_IN
fi


printf "$DATE$TIME"
printf "$LABEL_IN$COUNT_IN,"
printf "$LABEL_OUT$COUNT_OUT"
printf "\n"

Wenn man nun in die Crontab folgende Zeile hinzufügt, dann wird unter /var/log/ z.B. eine CSV-Datei erzeugt mit der man die Daten weiter verarbeiten kann

*/5 * * * * /root/bin/owncloud-traffic --date --time --zero-chain >> /var/log/owncloud-traffic.log

Es bietet sich auch an, das Logfile in logrotate zu konfigurieren damit es nicht zu groß wird und evtl. Werte älter als 2 Jahre nicht aufgehoben werden.
Am einfachsten folgendes in /etc/logrotate.d/owncloud-traffic speichern:

/var/log/owncloud-traffic.log {

    monthly
    rotate 24
    compress

    delaycompress
    missingok
    create 666 www-data www-data
}

Hiermit sehen wir die entsprechenden Iptables-„Ketten“ und dessen Einträge

iptables -L --line-numbers

Es wird aus der „Kette“ fail2ban-owncloud der Eintrag 1 gelöscht und somit ist ein Zugriff via HTTPS für den Kunden wieder möglich

iptables -D fail2ban-owncloud 1