Ocorreu um problema com o Fail2Ban UFW Portscan Filter

1

Estou tentando criar um filtro para o fail2ban que reconhece as verificações de porta nos logs do UFW.
Confirmei que minha ação de proibição está funcionando corretamente em outros filtros e estou tendo problemas para criar a expressão correta de filtro / regex nesta ocasião - tenho certeza de que será um erro bobo da minha parte.
Eu tentei o utilitário fail2ban-regex e tenho 0 acessos.

Meu jail.local contém:

[ufw-port-scan]
enabled = true
port = all
filter = ufw-port-scan
banaction = ufw-action
logpath = /var/log/ufw.log
maxretry = 10

O filtro que estou tentando criar (colocado em /etc/fail2ban/filter.d/ufw-port-scan.conf ) é assim:

[Definition]
failregex = kernel: \[UFW BLOCK\] IN=.* SRC=<HOST>
ignoreregex =

Uma linha de amostra que estou tentando identificar no ufw.log :

Sep 18 21:06:08 trial kernel: [ 3014.939702] [UFW BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=192.168.0.5 DST=192.168.0.10 LEN=44 TOS=0x00 PREC=0x00 TTL=45 ID=36825 PROTO=TCP SPT=50704 DPT=80 WINDOW=1024 RES=0x00 SYN URGP=0

Qualquer orientação seria apreciada - obrigado.

    
por Touff 19.09.2014 / 03:17

1 resposta

2

Você estava perto.

failregex = .*\[UFW BLOCK\] IN=.* SRC=<HOST>

E possivelmente remova port = all (é opcional)

Você pode executar testes usando o fail2ban-regex. por exemplo:

fail2ban-regex  /var/log/ufw.log '.*\[UFW BLOCK\] IN=.* SRC=<HOST>'
    
por 19.09.2014 / 06:04