Postfix fail2ban help .. Eu tenho um host ruim mas o fail2ban não o bloqueia

1

Oi eu estou usando postfix plus fail2ban no Centos 6.5, mas eu estou ficando botted (não estou transmitindo, mas lá vai você) e por alguma razão fail2ban não é capaz de cortar o ip e bloqueá-lo isso é 6/7 vezes um segundo indo para o meu /var/log/maillog

Mar  3 13:05:47 postfix/smtpd[27715]: lost connection after UNKNOWN from Unknown[209.15.212.253]
Mar  3 13:05:47 postfix/smtpd[27715]: disconnect from unknown[209.15.212.253]
Mar  3 13:05:47 postfix/smtpd[27715]: warning: valid_hostname: misplaced delimiter: .

Eu não tenho um problema com publishing do IP deste bot porque ele claramente não é amigo de ninguém e é um mecanismo de spam de propósito criado ip (é RDNS como um ".", para tentar criar uma lacuna de delimitador mal colocada )

de qualquer maneira eu tenho fail2ban configurado bastante certo, ele me e-mail para dizer que ele está funcionando em sasl e postfix

aqui está o /etc/fail2ban/jail.local

findtime  = 600
bantime  = 600
maxretry = 6


[sasl-iptables]
enabled  = true
filter   = postfix-sasl
backend  = polling
action   = iptables[name=sasl, port=smtp, protocol=tcp]
            sendmail-whois[name=sasl, [email protected]]
logpath  = /var/log/maillog
maxretry = 5
bantime  = 300

[postfix-tcpwrapper]
enabled  = true
filter   = postfix
action   = hostsdeny[file=/not/a/standard/path/hosts.deny]
           sendmail[name=Postfix, [email protected]]
logpath  = /var/log/maillog
bantime  = 300
maxretry = 6

 ##the following are done in sheer desperation - no idea if they are needed
[postfix]
enabled = true
port    = smtp,ssmtp
filter  = postfix
action  = hostsdeny
logpath = /var/log/maillog

[perdition]
enabled = true
filter  = perdition
action  = iptables-multiport[name=perdition,port="110,143,993,995"]
logpath = /var/log/maillog

[dovecot-pop3imap]
enabled = true
port = pop3,pop3s,imap,imaps
filter = dovecot-pop3imap
action  = hostsdeny
logpath = /var/log/maillog

Alguém pode me ajudar a explicar por que essas regras ainda estão em /var/logs/maillog ainda está sendo escrito o tempo todo, e ninguém está sendo banido?

[/ EDIT] sendo um pouco de noob no fail2ban Eu não percebi (mais ou menos) bolas de mão a cada linha via regex - aqui está o meu /etc/fail2ban/filter.d/postfix.conf

# Fail2Ban filter for selected Postfix SMTP rejections
#
#

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf

[Definition]

_daemon = postfix/smtpd

failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
            ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 : Helo command rejected: Host not found; from=<> to=<> proto=ESMTP helo= *$
            ^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$

ignoreregex =

# Author: Cyril Jaquier
    
por user26676 03.03.2014 / 14:20

1 resposta

1

Você não nos disse o que está no seu filtro postfix , mas se a sua instalação for parecida com a minha, é algo como

failregex = reject: RCPT from (.*)\[<HOST>\]: 554

Como as linhas de registro que você nos mostrou não são nada parecidas, fail2ban não será acionado nelas. Você precisará escrever seu próprio filtro, que corresponda a essas linhas, se quiser que elas desencadeiem uma proibição.

Mas você pode descobrir que, para bloquear apenas esse endereço IP, é mais eficiente colocar uma regra iptables em você mesmo. Algo como

iptables -I INPUT 1 -s 209.15.212.253 -p tcp --dport 25 -j REJECT

provavelmente faria o truque.

    
por 03.03.2014 / 14:25