Fail2ban: тест regex успешно выполняется, но fail2ban не запрещает IP
Я не могу запретить IP, думал, когда я тестирую свой regex, он имеет +2000matches:
> fail2ban-regex '/var/log/nginx/access.log' '/etc/fail2ban/filter.d/bad-request.conf'
Date template hits:
|- [# of hits] date format
| [1172344] Day(?P<_sep>[-/])MON(?P=_sep)Year[ :]? 24hour:Minute:Second(?:\.Microseconds)?(?: Zone offset)?
Lines: 1172344 lines, 0 ignored, 2198 matched, 1170146 missed [processed in 223.96 sec]
Вот мой failregex:
^<HOST> -.*GET.*(\.php|\.asp|\.exe|\.pl|\.cgi|\scgi)
я использую 0.9. версия.
Файлы журнала похожи на это:
1.39.61.27,151.249.92.71,118.186.70.18,118.186.70.8,192.168.99.251,118.186.70.181,118.186.70.17,118.186.70.112,118.186.70.18,118.186.70.18,192.168.99.251 - "OPTIONS /js/shs/json HTTP/1.1" - [09/Oct/2015:15:33:29 +0800] 200 508 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/43.0.2357.130 Chrome/43.0.2357.130 Safari/537.36" "-"
- - "GET /wp-login.php HTTP/1.1" - [09/Oct/2015:15:33:30 +0800] 200 130761 "-" "-" "-"
Я проверил iptables -L, вывод просто нормален, никакой запрещенный IP:
Это, регистрируют формат даты, не выполняющий fail2ban стандарты? Где я должен проверить затем?
0
задан sebix
10 October 2015 в 12:21
Ссылка
1 ответ
Наконец-то он заработал. Моя ошибка заключалась в том, чтобы установить действие:
action = %(action_mwl)s
внутри jail.local, когда у меня не было почтового сервера. Я изменил действие на
action = %(action_)s
по умолчанию, и теперь я автоматически блокирую многие вредоносные траффики с помощью fail2ban. Следующим шагом будет их постоянная блокировка. ура.
0