Re: Fail2ban y expresión regular
El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió:
> Buenas...
> Estoy renegando con fail2ban y las expresiones regulares (no son mi
> fuerte), a ver si alguien me puede tirar una mano.
> Estuve mirando varias paginas y los filtros ya creados en el servicio
> para tomarlos como referencia pero no doy en la tecla.
> Tengo varios logs como estos que genero mediante IPTABLES:
>
> Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado:
> IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00
> SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119
> ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN
> URGP=0
>
> En jail.conf tengo:
>
> [flooddetectado]
> enabled = true
> port = all
> filter = flooddetectado
> logpath = /var/log/messages
> maxretry = 10
> action = iptables-allports[name=flooddetectado,
> port="22,25,80,443",
> protocol=tcp]
>
> y en los filtros, dentro de flooddetectado.conf :
>
> [Definition]
> failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=<HOST>$
Intenta con algo más simple, por ejemplo:
failregex = Flood detectado: .* SRC=<HOST> .*$
Un saludo
JulHer
Reply to: