Vários endereços IP em fail2ban

2

Acabei de receber uma enxurrada de ataques pop3-login em um dos meus servidores. Fiquei surpreso com o fato de o fail2ban não tê-los impedido, então percebi que o serviço está escutando em vários endereços IP, e o invasor estava passando por cima de todos eles. O Fail2ban bloqueou apenas o meu primeiro IP.

O fail2ban tem uma configuração myip = x.y.z.a, mas não parece ter vários valores. Existe uma maneira de configurar isso?

    
por mgjk 26.07.2012 / 22:03

1 resposta

0

D'oh! suposição ruim da minha parte. Eu dei uma olhada de perto. O fail2ban não bloqueia o IP local, está bloqueando a fonte corretamente. Não é necessário configurar vários endereços IP.

A questão parece ser que eles estavam fazendo dezenas de tentativas por segundo.

2012-07-26 10:41:25,771 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 74.63.241.177
2012-07-26 10:41:27,825 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177   already banned
2012-07-26 10:41:28,827 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
2012-07-26 10:41:30,829 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned

Foi o suficiente para aumentar a contagem de processos antes que o fail2ban pudesse responder. O volume do ataque e a disseminação por vários IPs me pegaram desprevenido.

    
por 27.07.2012 / 20:53