Некоторые люди пытаются проникнуть на мой сервер openvpn. На данный момент я вручную запрещаю каждый IP-адрес, потому что не знаю, как настроить регулярное выражение fail2ban. Содержимое ниже - это в основном то, что находится в моем / var / log / syslog
Jun 18 19:57:01 Server ovpn-openvpn_tcp[856]: TCP connection established with [AF_INET]196.52.43.65:6666
Jun 18 19:57:03 Server ovpn-openvpn_tcp[856]: 196.52.43.65:6666 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Jun 18 19:57:03 Server ovpn-openvpn_tcp[856]: 196.52.43.65:6666 Connection reset, restarting [0]
Jun 18 19:57:03 Server ovpn-openvpn_tcp[856]: 196.52.43.65:6666 SIGUSR1[soft,connection-reset] received, client-instance restarting
Jun 18 20:42:20 Server ovpn-openvpn_tcp[856]: TCP connection established with [AF_INET]23.239.65.138:61397
Jun 18 20:42:20 Server ovpn-openvpn_tcp[856]: 23.239.65.138:61397 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1627 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Jun 18 20:42:20 Server ovpn-openvpn_tcp[856]: 23.239.65.138:61397 Connection reset, restarting [0]
Jun 18 20:42:20 Server ovpn-openvpn_tcp[856]: 23.239.65.138:61397 SIGUSR1[soft,connection-reset] received, client-instance restarting
. Я попытался создать фильтр, следуя официальному руководству fail2ban для openvpn, но я думаю, что он устарел и не правильно проанализировать после того, как я проведу несколько тестов. Руководства сказали мне сделать то, что показано ниже:
#Fail2Ban filter for selected OpenVPN rejections
[Definition]
# Example messages (other matched messages not seen in the testing server's logs):
# Fri Sep 23 11:55:36 2016 TLS Error: incoming packet authentication failed from [AF_INET]59.90.146.160:51223
# Thu Aug 25 09:36:02 2016 117.207.115.143:58922 TLS Error: TLS handshake failed
failregex = ^ TLS Error: incoming packet authentication failed from \[AF_INET\]<HOST>:\d+$
^ <HOST>:\d+ Connection reset, restarting
^ <HOST>:\d+ Fatal TLS Error
^ <HOST>:\d+ TLS Error: TLS handshake failed$
^ <HOST>:\d+ VERIFY ERROR
^ <HOST>:\d+ Bad encapsulated packet length
ignoreregex =
Это находится в моем файле jail.local:
[openvpndeny]
enabled = true
port = 443
protocol = tcp
filter = openvpndeny
logpath = /var/log/syslog
maxretry = 3
К сожалению, после запуска fail2ban-regex / var / log / syslog /etc/fail2ban/filter.d/openvpndeny .conf
Я получаю результат ниже
Running tests
=============
Use failregex filter file : openvpndeny, basedir: /etc/fail2ban
Use log file : /var/log/syslog
Use encoding : UTF-8
Results
=======
Failregex: 0 total
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [4608] (?:DAY )?MON Day 24hour:Minute:Second(?:\.Microseconds)?(?: Year)?
`-
Lines: 4608 lines, 0 ignored, 0 matched, 4608 missed
[processed in 3.78 sec]
Missed line(s): too many to print. Use --print-all-missed to print all 4608 lines
[edit]
Я начал узнайте, как использовать регулярные выражения сегодня, потому что я уже спрашивал в stackoverflow, и никто не мог помочь. Я не уверен, как fail2ban определяет
для получения IP-адресов. Я попытался получить IP-адреса по-своему, выполнив один фильтр вроде этого:
(\ d + \. \ D + \. \ D + \. \ D +: \ d + Сброс соединения, перезапуск)
он работает в https://regex101.com/ , но не fail2ban.
Я смог создать подобный фильтр для fail2ban после того, как узнал больше о регулярных выражениях
[Definition]
failregex = <HOST>:\d+ (Connection reset, restarting|TLS Error: TLS handshake failed|Fatal TLS error|VERIFY ERROR|WARNING: Bad encapsulated packet length)
ignoreregex =