Fail2ban y expresión regular

To: Lista Debian <debian-user-spanish@lists.debian.org>
Subject: Fail2ban y expresión regular
From: "Diego H. Cancelo" <diego@cancelo.com.ar>
Date: Mon, 1 Oct 2018 22:12:36 -0300
Message-id: <[🔎] CAE1OxfYGJkBsRFgZ7fAZ3JoFDk4h2hiRPeRgUjS73qGoCYnHpg@mail.gmail.com>

Buenas...
Estoy renegando con fail2ban y las expresiones regulares (no son mi
fuerte), a ver si alguien me puede tirar una mano.
Estuve mirando varias paginas y los filtros ya creados en el servicio
para tomarlos como referencia pero no doy en la tecla.
Tengo varios logs como estos que genero mediante IPTABLES:

Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado:
IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00
SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119
ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0

En jail.conf tengo:

[flooddetectado]
enabled  = true
port      = all
filter   = flooddetectado
logpath  = /var/log/messages
maxretry = 10
action   = iptables-allports[name=flooddetectado, port="22,25,80,443",
protocol=tcp]

y en los filtros, dentro de flooddetectado.conf :

[Definition]
failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=<HOST>$
ignoreregex =

Al correr el test fail2ban-regex /var/log/messages
/etc/fail2ban/filter.d/flooddetectado.conf no detecta nada:

Running tests
=============
Use   failregex line : ^Flood\ detectado:\ IN=eth0\ OUT=\ MAC=*\ SRC=<HOST>$
Use         log file : /var/log/messages
Results
=======
Failregex: 0 total
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
|  [77373] MONTH Day Hour:Minute:Second
`-
Lines: 77373 lines, 0 ignored, 0 matched, 77373 missed
Missed line(s): too many to print.  Use --print-all-missed to print
all 77373 lines

También probe con otros filtros:
'^%(__prefix_line)Flood\ detectado:\ IN=eth0\ OUT=\ MAC=*\ SRC=<HOST>$'
^%(__line_prefix)s(\.\d+)?( error:)?\s*Flood\ detectado:\ IN=*\ OUT=\
MAC=*\ SRC=<HOST>*$
^( .*)Flood\ detectado:\ IN=*\ OUT=\ MAC=*\ SRC=<HOST>*$

Pero nada...
Si alguien me puede tirar una mano con la expresión regular a utilizar
se agradece sobremanera!
Muchas gracias.

Saludos.
Diego.

=======================================================
"Diego H. Cancelo" diego[at]cancelo[dot]com[dot]ar
*GNU/Linux User # 491743* | Huella digital:
03CA 8BAC 823A 80A1 D2FD  E74F 50AB 79D7 8F1A 0DF7
GnuPG: 2048D/8F1A0DF7 | Clave GPG: solicitar por mail
=======================================================
Usá Software Libre.

Reply to:

Follow-Ups:
- Re: Fail2ban y expresión regular
  - From: julher@escomposlinux.org

Next by Date: Re: Fail2ban y expresión regular
Next by thread: Re: Fail2ban y expresión regular
Index(es):
- Date
- Thread