filtro personalizado para Fail2Ban

4

Instalei o fail2ban e estou tentando configurá-lo para bloquear endereços IP que aparecem em uma determinada mensagem que aparece no syslog. A mensagem no syslog é:

racoon: ERROR: Invalid exchange type 243 from 103.14.62.181[11950]

Normalmente, cada mensagem tem um endereço IP diferente e o número entre parênteses (porta?) também é diferente. Parece que posso criar um filtro personalizado fazendo o seguinte:

racoon: ERROR: Invalid exchange type 243 from <HOST>

Mas a minha pergunta é: posso parar por aí e o fail2ban fará a coisa certa ou preciso especificar algo assim:

racoon: ERROR: Invalid exchange type 243 from <HOST>[IDONTKNOWWHATGOESHERE]

Se eu precisar especificar algo como o acima, qual seria o curinga que deveria aparecer nos colchetes? A documentação do fail2ban sobre o OpenVPN (exemplo mais próximo) mostra isso:

link

* <HOST>:[0-9]{4,5} Connection reset, restarting \[[0-9]{1,2}\]

Parece que eles estão usando [0-9] {4,5} como curinga para o número da porta. Isso funcionaria no meu caso, ou não?

Estou completamente sem base no meu exemplo para o filtro?

O objetivo final aqui é ter qualquer coisa que falhe com um erro de troca 243 a ser adicionado às tabelas IP com um sinalizador DROP. Eu posso ter mais perguntas sobre o meu filtro e o que não depois que eu recebo a pergunta inicial respondida.

    
por locutusoftron 04.03.2014 / 06:15

1 resposta

4

Sim, você pode parar por aí e o fail2ban fará isso. Você pode testar isso com o utilitário fail2ban-regex (1) . O resumo é

fail2ban-regex [OPTIONS] <LOG> <REGEX> [IGNOREREGEX]

então usando o trabalho que você fez (Note que eu tive que adicionar um datetime ao início da sua entrada de log fornecida, caso contrário ele irá reclamar.)

fail2ban-regex "Mar  3 07:36:19 racoon: ERROR: Invalid exchange type 243 from 103.14.62.181[11950]" "racoon: ERROR: Invalid exchange type 243 from <HOST>"

Running tests
=============

Use regex line : racoon: ERROR: Invalid exchange type 243 from <HOST>
Use single line: Mar  3 07:36:19 racoon: ERROR: Invalid exchange ty...

Matched time template MONTH Day Hour:Minute:Second
Got time using template MONTH Day Hour:Minute:Second

Results
=======

Failregex: 1 total
|- #) [# of hits] regular expression
|  1) [1] racoon: ERROR: Invalid exchange type 243 from <HOST>
'-

Ignoreregex: 0 total

Summary
=======

Addresses found:
[1]
    103.14.62.181 (Mon Mar 03 07:36:19 2014)

Date template hits:
2 hit(s): MONTH Day Hour:Minute:Second

Success, the total number of match is 1
    
por 04.03.2014 / 08:16

Tags