Re: fail2ban regex

[Nisar JAGABAR <njagabarali@proofpoint.com>]

Et pourquoi ne pas bannir manuellement cette IP ? fail2ban-client te 
permets de le faire, regarde la sortie de 'fail2ban-client --help' ou 
son man :
bash# fail2ban-client set <JAIL> banip <IP>

Pour le nom du JAIL, tu as une liste de ceux déjà configuré avec un
bash# fail2ban-client status

Pour les IP déjà bannis sur un JAIL particulier :
bash# fail2ban-client status <JAIL>


Le 29/04/2020 à 10:09, BERTRAND Joël a écrit :
> 	Bonjour à tous,
>
> 	Depuis plus de 48 heures, je subis une attaque sur l'un de mes serveurs
> de mails en provenance de Russie. Les logs sont plein de ce genre de chose :
>
> Apr 29 10:06:33 rayleigh pop3d-ssl: ip=[::ffff:213.217.0.213], An
> unexpected TLS packet was received.
> Apr 29 10:06:33 rayleigh pop3d-ssl: Disconnected, ip=[::ffff:213.217.0.213]
>
> 	Et ça défile à une vitesse délirante. Je tente donc de rajouter une
> règle fail2ban mais elle ne fait rien.
>
> 	J'ai rajouté courier-tls.conf:
>
> [INCLUDES]
> before = common.conf
>
> [Definition]
> _daemon = (imapd-ssl|pop3d-ssl)?
> failregex = ^.*ip=\[<HOST>\], An unexpected TLS packet was received.$
> ignoreregex =
> datepattern = {^LN-BEG}
>
> 	J'ai naturellement modifié le fichier de configuration de fail2ban et
> cette règle est chargée :
>
> 2020-04-29 10:05:04,148 fail2ban.server         [1114037]: INFO
> Reload jail 'courier-tls'
> 2020-04-29 10:05:04,148 fail2ban.filter         [1114037]: INFO
> encoding: UTF-8
> 2020-04-29 10:05:04,148 fail2ban.filter         [1114037]: INFO
> maxRetry: 5
> 2020-04-29 10:05:04,148 fail2ban.filter         [1114037]: INFO
> findtime: 600
> 2020-04-29 10:05:04,148 fail2ban.actions        [1114037]: INFO
> banTime: 600
>
> 	Mais elle ne fait rien. Si je la teste avec fail2ban-regex, elle semble
> toutefois fonctionner. Où donc ai-je fait une boulette ?
>
> 	Bien cordialement,
>
> 	JKB

--
Nisar JAGABAR
 ,= ,-_-. =.
((_/)o o(\_))
 `-'(. .)`-'
     \_/