Пожалуйста, войдите здесь. Часто задаваемые вопросы О нас
Задайте Ваш вопрос

fail2ban банит игнорируемые IP

0

Столкнулся со странной работой fail2ban.B jail.conf указаны разрешённые ip на трафик с которых по идее он вообще не должен реагировать.В фильтре asterisk.conf так же эти ip занесены в игнор.Но как только я его запускаю он тут же начинает эти ip банить.При отключённом fail2ban всё работает.Из-за чего такое происходит? В правилах iptables эти ip также указаны c -j ACCEPT

fail2ban отключён

111 192.168.1.100 5060 OK (15 ms)
112 192.168.1.100 5060 OK (14 ms)
119 192.168.1.102 5061 OK (11 ms)

После подключения

111 192.168.1.100 5060 UNREACHABLE
112 192.168.1.100 5060 UNREACHABLE
119 192.168.1.102 5061 UNREACHABLE

Кусок лога где видно как он срабатывает

2013-09-27 05:07:20,781 fail2ban.filter : INFO Added logfile = /var/log/secure
2013-09-27 05:07:20,782 fail2ban.filter : INFO Set maxRetry = 4
2013-09-27 05:07:20,784 fail2ban.filter : INFO Set findtime = 600
2013-09-27 05:07:20,785 fail2ban.actions: INFO Set banTime = 36000
2013-09-27 05:07:20,863 fail2ban.jail : INFO Creating new jail 'asterisk-iptables'
2013-09-27 05:07:20,863 fail2ban.jail : INFO Jail 'asterisk-iptables' uses Gamin
2013-09-27 05:07:20,865 fail2ban.filter : INFO Added logfile = /var/log/asterisk/full
2013-09-27 05:07:20,866 fail2ban.filter : INFO Set maxRetry = 3
2013-09-27 05:07:20,867 fail2ban.filter : INFO Set findtime = 600
2013-09-27 05:07:20,868 fail2ban.actions: INFO Set banTime = 36000
2013-09-27 05:07:20,870 fail2ban.filter : ERROR No 'host' group in 'NOTICE.* .*: Registration from '.*' failed for ':.*' - Wrong password'
2013-09-27 05:07:20,872 fail2ban.filter : ERROR No 'host' group in 'NOTICE.* .*: Registration from '\".*\".*' failed for '' - Wrong password'
2013-09-27 05:07:20,874 fail2ban.filter : ERROR No 'host' group in 'NOTICE.* .*: Registration from '\".*\".*' failed for '' - No matching peer found'
2013-09-27 05:07:20,934 fail2ban.jail : INFO Jail 'ssh-iptables' started
2013-09-27 05:07:20,936 fail2ban.jail : INFO Jail 'asterisk-iptables' started
2013-09-27 05:07:33,965 fail2ban.actions: WARNING [asterisk-iptables] Ban 192.168.1.100
2013-09-27 05:07:42,973 fail2ban.actions: WARNING [asterisk-iptables] Ban 192.168.1.102

Кусок jail.conf с записью игнора IP

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1
ignoreip = 192.168.1.102
ignoreip = 192.168.1.100

Писал игнор и в строку и в столбик результат один Кусок фильтра asterisk.conf

 VERBOSE.*SIP/<HOST>-.*Received incoming SIP connection from unknown peer
 NOTICE.* .*: Sending fake auth rejection for device.* \(<HOST>:.*\)
 NOTICE.* .*: Failed to authenticate device.* \(<HOST>:.*\)
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex = 192.168.1.1 192.168.1.100 192.168.1.102
удалить закрыть спам изменить тег редактировать

спросил 2013-09-29 00:31:13 +0400

petr1968 Gravatar petr1968
1 1 1

Comments

The tag "<HOST>" can

be used for standard IP/hostname matching and is only an alias for

(?:::f{4,6}:)?(?P<host>\S+)

Если следовать этому правилу то должно быть ignorereges = <HOST> = 192.168.1.100/192.168.102 Это правильно?

petr1968 ( 2013-09-29 01:41:54 +0400 )редактировать

1 Ответ

0

изза того, что вы неверно сконфигурировали fail2ban. в вашем случае это все еквивалентно только последнему. ну и регексп у вас вообще уникальный. он вообще ничему не сматчится.

добавте все в ignoreip в строчку через пробел. проверьте что у вас нигде больше нет строчки ignoreip с другим набором. работает ПОСЛЕДНЯЯ!!!! строчка.

если хотите через регексп, то рексп будет вот так както выглядеть.

ignoreregex = .*HOST=192\.168\.1\.(1|100|102)

точнее - посмотриет как у вас регексп который матчит написан.

ссылка удалить спам редактировать

ответил 2013-09-29 00:53:04 +0400

meral Gravatar meral flag of Ukraine
21228 23 18 169
http://pro-sip.net/

Comments

Для анализа регулярок есть замечательная утилита fail2ban-regex

zzuz ( 2013-09-29 13:08:51 +0400 )редактировать

Ваш ответ

Please start posting your answer anonymously - your answer will be saved within the current session and published after you log in or create a new account. Please try to give a substantial answer, for discussions, please use comments and please do remember to vote (after you log in)!
[скрыть предварительный просмотр]

Закладки и информация

Добавить закладку

подписаться на rss ленту новостей

Статистика

Задан: 2013-09-29 00:31:13 +0400

Просмотрен: 993 раз

Обновлен: Sep 29 '13

Похожие вопросы:

Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией GNU GPL.