[SOLUCIONADO] Fail2ban y expresión regular
Hola Julher.
Me funcionó perfecto, muchas gracias por tu ayuda !!!
Había que ir a lo más sencillo.... vergüenza me da :P
Muchas gracias nuevamente.
Saludos.
Diego.
El mar., 2 oct. 2018 a las 10:28, <julher@escomposlinux.org> escribió:
>
> El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió:
> > Buenas...
> > Estoy renegando con fail2ban y las expresiones regulares (no son mi
> > fuerte), a ver si alguien me puede tirar una mano.
> > Estuve mirando varias paginas y los filtros ya creados en el servicio
> > para tomarlos como referencia pero no doy en la tecla.
> > Tengo varios logs como estos que genero mediante IPTABLES:
> >
> > Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado:
> > IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00
> > SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119
> > ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN
> > URGP=0
> >
> > En jail.conf tengo:
> >
> > [flooddetectado]
> > enabled = true
> > port = all
> > filter = flooddetectado
> > logpath = /var/log/messages
> > maxretry = 10
> > action = iptables-allports[name=flooddetectado,
> > port="22,25,80,443",
> > protocol=tcp]
> >
> > y en los filtros, dentro de flooddetectado.conf :
> >
> > [Definition]
> > failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=<HOST>$
>
> Intenta con algo más simple, por ejemplo:
>
> failregex = Flood detectado: .* SRC=<HOST> .*$
>
> Un saludo
>
> JulHer
>
>
Reply to: