問題タブ [fail2ban]

最近、マネージャーが ubuntu 10.04 メール サーバーに fail2ban をインストールして、メール サーバーへの認証に失敗した IP アドレスを禁止しました。システムを監視していると、fail2ban によって禁止されたシステムで継続的に認証を試行する IP が表示されません。私たちは何を間違っていますか？以下はconfファイルです。

fail2ban.conf

jail.conf 有効化された postfix および sasl フィルタのみ

postfix.conf

sasl.conf

iptables は次を示します。

部分的なログ ファイル エントリ (/var/log/mail.log)

Nginxを実行しているUbuntu 18.04 Digital Oceanドロップレットでfail2banをセットアップしています。

このチュートリアルに従ってセットアップし、このチュートリアルに従ってカスタム フィルターを作成し、禁止された URL の要求をキャッチしました。

これが私のフィルターです：

サンプルのログ ファイル エントリは次のようになります。

私が実行しているテストは次のとおりです。

出力は次のとおりです。

私のログ ファイルを見ると、約 1060 行あり、そのうち 200 行に日付が含まれています。それらの 200 のうち、131 には「禁止」が含まれているので、おそらく機能していると思いますが、よくわかりません。

ここに私の質問があります：

1) 「日付テンプレート ヒット」とは何ですか? 期待される形式の日付で始まる行ですか? したがって、それらは一致する必要があるログエントリの「候補」ですか?

2) 「無視」と「見逃し」の違いは何ですか?

3) 131 の「一致した」エントリを表示して、キャッチしようとしているものと同じように見えることを確認する方法はありますか?

4) フィルター内の正規表現が言うところ、client: <HOST>その一致は何ですか? ログエントリの「クライアント」IP アドレスですか、それとも行末の「ホスト」エントリですか?

用語の意味を理解すれば、答えはおそらく明らかですが、私の無知のために十分に単純な説明を見つけることができません。

ssh デーモンを保護するために fail2ban を使用していますが、fail2ban がデフォルトでトリガーされないように見えるものがあります。私の fail2ban ログには、次のようなエントリが表示されます。

このパターンは、同じ /24 からのいくつかのパターンとともに、約 8 時間で繰り返されます。これらの接続試行はすべて同じネットワークからのものであるため、これはすべて同じ攻撃者からのものであると考え、/24 全体をブロックしたいと考えています。ここの Debian Bugs メーリング リストで、ホストではなくネットワークをブロックする方法に関するいくつかの指示を見つけました。これはうまく機能しますが、個々の IP アドレスではなく /24 パターンでトリガーする方法が見つかりません。このインスタンスをキャッチするために、ルールをもう少し制限することもできますが (おそらく 2 つの失敗でトリガーします)、ログに表示されているすべてのインスタンスをキャッチすることはできません。

これを設定するための指針はありますか？

fail2ban で、IP 禁止の残り時間を照会する方法はありますか? fail2ban-client bantime は元の「判決」の目的を示していますが、「仮釈放」までの残り時間を知るにはどうすればよいですか?

これは私の入力文字列です:

^<HOST>.*$で始まり、で終わる正規表現を進化させようとした^<HOST> - - \[2.*$のですが、最後に奇妙なことが起こりました。

最後のパターンの繰り返しが一致しなくなりました。このように言うと強制的に一致させることができ^<HOST> - - \[\D.*$ます。

はぁ？これは、数字以外の文字が左角括弧の後に続くことを意味します!

それがどのように進化したかを示すために、私が行った手順を印刷します。

誰かが私にこの奇妙な行動を説明してくれることを願っています.

環境情報:

そして、フィルター式の反復的な進化に従います。

反復 1: 一致 - 期待どおり

イテレーション 2: 一致 - 期待どおり

反復 3: 一致 - 期待どおり

イテレーション 4.1: 失敗 - なぜ ???

イテレーション 4.2: 失敗 - なぜ ???

イテレーション 4.3: 一致 - なぜ ???

事前にt​​hx。

Suse-Linux-Enterprise Server で Fail2ban を構成して、ボット トラフィックのレートを制限します。以下は、jail.local ファイルで行われる構成です。

以下は正規表現の構成です。

以下はログ形式です。

正規表現テストを実行すると、以下の結果が得られます。

結果

問題は、Google ボットを継続的にヒットすると、ログで IP アドレスがブロックされていることを取得していますが、有効な IP アドレスが表示されず、ボット トラフィックがブロックされていないことです。以下のログを参照してください。

ここで私たちが犯した間違いは何ですか？問題を解決する方法。私は にfail2ban不慣れです。どんな助けでも大歓迎です。

多分誰かがfail2banのこの正規表現で私を助けることができます....

次の内容の行をフィルタリングするには、failregex を作成する必要があります。

私は非常に多くの正規表現を試しましたが、常にfail2ban-regexコマンドからこのエラーが発生します:

エラー: 正規表現 '\etc\fail2ban\filter.d\01teamspeak-ban.conf' をコンパイルできません

私は例を試しました：

ログファイルの例:

私のOSはOpen Media Vaultです。NGINX に基づくリバース プロキシであるコンテナ linuxserver/letsencrypt:latest を備えた Docker があります。Bitwarden および Nextcloud コンテナーを正しく指し示し、常に正しいクライアント IP を提供します。コンテナーではなく、ホスト OS で直接アクセスできるサービス (OMV Web GUI) を指すリダイレクトをもう 1 つ追加しました。できます。しかし、omv.mydomain.xy に接続しているクライアントの実際の IP を取得できません。Docker サブネット IP のみ。Nextcloud と Bitwarden は、クライアントの真の IP を確認できます。

config omv.subdomain.conf を使用 (これは、クライアント IP が正しく指定されている nextcloud.subdomain.conf に基づいています)

私はこれを得る：

私のnginx.conf

私のproxy.conf

問題は、リバース プロキシがトラフィックをホストに転送しているときに実際のクライアント IP を取得するために必要な追加の行は何ですか?

fail2ban インスタンスをセットアップしています。すべてが期待どおりに正常に動作しますが、いくつかのルールにポートが組み込まれていることに気付きました。たとえば、次のようになります。

portそれで、それがsshまたはhttp何かであると述べているとき、 fail2banはどこからこれらのバインディングを取得しますか? どのポートを名前として使用でき、どのポートを単なるポート番号として使用できるかを知るにはどうすればよいですか?

数か月前、courier-mta を実行している gentoo コンテナーに fail2ban をセットアップしました。

この同じ組み合わせは、以前のバージョンのソフトウェアで問題なく実機で実行されていました。しばらくして、fail2ban が何も禁止していないことに気付きました。ファイアウォール エントリはなく、fail2ban ログ ファイルに禁止もありません。

構成を確認し、ドキュメント、グーグルなどを調べた後、私は困惑しています。fail2ban-regex は、jail が正しいフィルター/ログパスを使用していることを示しており、多くの一致が見つかります。

ログ (ログレベル 5 に設定) は、私が知る限り、f2b がログエントリを正常に処理していることを示しています。

ログエントリが何かをトリガーするかどうかはわかりませんが、fail2ban-client は失敗を示しません。

禁止がない理由を確認するために、他に何を調べる必要がありますか?