Регистрация Войти
Рейтинг:2
Whip avatar Server

Fail2ban возможно частичное совпадение IP?

флаг cn
Whip

Мой сервер (Ubuntu 18.04) получает много спам-запросов на Postfix. Fail2ban работает, но спамеры продолжают менять последнюю часть IP и не получают бана. Например,

2021-10-09 09:40:01,260 fail2ban.filter [790]: INFO [postfix-sasl] Found 212.70.149.88 - 2021-10-09 09:40:01
2021-10-09 09:40:04,047 fail2ban.filter [790]: INFO [postfix-sasl] Found 31.130.184.201 - 2021-10-09 09:40:04
2021-10-09 09:40:08,697 fail2ban.filter [790]: INFO [postfix-sasl] Found 31.130.184.182 - 2021-10-09 09:40:08
2021-10-09 09:40:18,922 fail2ban.filter [790]: INFO [postfix-sasl] Found 31.130.184.119 - 2021-10-09 09:40:18
2021-10-09 09:40:21,627 fail2ban.filter [790]: INFO [postfix-sasl] Found 212.70.149.88 - 2021-10-09 09:40:21

Есть ли возможность заставить Fail2ban сопоставлять первые 3 части IP-адреса, например, 31.130.184.0/24, а затем блокировать все вышеперечисленные IP-адреса, как только они встречаются?

103
0 + 0
djdomi avatar
флаг za
djdomi
поддержка подсети появится, если я пойму репозиторий fail2ban на github.com
2
Ответить
Zareh Kasparian avatar
флаг us
Zareh Kasparian
если вы уверены, что хотите сбросить /24, зачем обрабатывать это через fail2ban. просто зайдите в iptables и бросьте /24. используется еще меньше памяти и процессора.
0
Ответить
djdomi avatar
флаг za
djdomi
Заре, я хочу видеть тебя в круглосуточном мониторинге логов с твоими объяснениями ;) Бьюсь об заклад, через 36 часов твой физический конец будет близок
0
Ответить
Zareh Kasparian avatar
флаг us
Zareh Kasparian
@djdomi либо у меня плохой английский, либо я не понимаю, что ты имеешь в виду!!!
0
Ответить
Zareh Kasparian avatar
флаг us
Zareh Kasparian
также хорошо иметь @myname, чтобы получать уведомления о вашем обновлении :)
0
Ответить
Whip avatar
флаг cn
Whip
@ZarehKasparian, что он имеет в виду, и я согласен, я не собираюсь блокировать этот конкретный IP. Это может быть любой IP-адрес, отправляющий вредоносные запросы. Я не могу продолжать следить за журналами и выполнять действия вручную.
1
Ответить
djdomi avatar
флаг za
djdomi
@ZarehKasparian whip понял, что я имел в виду ;) - он хочет избежать бодрствования 24/7, чтобы запретить любой злонамеренный запрос, и я имел в виду не позднее, чем через 36 часов бодрствования, ваш физический конец (засыпание) будет близок;)
0
Ответить
Zareh Kasparian avatar
флаг us
Zareh Kasparian
@djdomi никому не нужно бодрствовать. он / она может написать скрипт для чтения журналов и получения из него IP-адреса и автоматической блокировки IP через iptables. так просто :)
1
Ответить
Whip avatar
флаг cn
Whip
Классная идея. Назовем это "Fail2Ban"!
0
Ответить
Рейтинг:2
djdomi avatar Server
флаг za
djdomi

Короткий ответ:

Fail2ban планирует поддерживать блокировку подсетей в версии 1.0.

Справка

Отчет об ошибке: https://github.com/fail2ban/fail2ban/issues/927

Отчет Mile-Stone: https://github.com/fail2ban/fail2ban/milestone/17

Текущее состояние:

Официально не поддерживается, но может быть добавлен вручную

0 + 0
djdomi avatar
флаг za
djdomi
Я хотел бы добавить, что если вы заблокируете подсеть в текущем состоянии, fail2ban не будет соответствовать этому запрету в настоящее время.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.