сервер подвергается регулярным попыткам грубой силы dovecot и exim, чтобы угадать действительный адрес электронной почты и пароль.
написал сценарий, который сканирует журналы неправильных входов в систему ssh и блокирует IP на один день
, но без правильный IP-адрес клиента, выполняющего неправильный
IP-адрес не может быть заблокирован iptables
как можно настроить dovecot / exim, чтобы регистрировать фактический IP-адрес клиента, который пытается угадать пароль?
==> /var/log/exim/main.log <==
2020-06-26 19:34:48 dovecot_login authenticator failed for (User) [10.0.2.2]: 535 Incorrect authentication data (set_id=phpthumbdebug@domain.com)
2020-06-26 19:34:48 dovecot_login authenticator failed for (User) [10.0.2.2]: 535 Incorrect authentication data (set_id=h1@domain.com)
найдено это: lmtp
https://doc.dovecot.org/configuration_manual/protocols/lmtp_server/
и это:
https://wiki2.dovecot.org/HAProxy
и это:
https://doc.dovecot.org/configuration_manual/proxy_settings/
но это слишком сложно XD
просто хотел бы иметь правильный IP-адрес клиента в журналах
, а не 10.0.2.2 (ip прокси)
может кто-нибудь помочь?
спасибо
решение нужно было искать на стороне виртуального бокса, виртуальный бокс МОЖЕТ сохранять исходный IP-адрес клиента при прохождении трафика через NAT хоста:
# shutdown / poweroff vm
VBoxManage modifyvm "vmname" --nataliasmode1 proxyonly
# power on vm again and monitor the logs
# if the real client ip adresses are now being passed on to the vm or not
--nataliasmode<1-N>
default|[log],[proxyonly],[sameports]
: определяет поведение ядра механизма NAT:
log – enables logging
proxyonly – switches off aliasing mode and makes NAT transparent
sameports – enforces the NAT engine to send packets through the same port as they originated on
default – disable all aliasing modes.
См. Раздел 9.8.7, «Настройка псевдонимов механизма NAT». https://www.virtualbox.org/manual/UserManual.html#nat-adv-alias
Ссылки: