Для анализа регулярок есть замечательная утилита fail2ban-regex
zzuz ( 2013-09-29 13:08:51 +0400 )редактироватьСтолкнулся со странной работой fail2ban.B jail.conf указаны разрешённые ip на трафик с которых по идее он вообще не должен реагировать.В фильтре asterisk.conf так же эти ip занесены в игнор.Но как только я его запускаю он тут же начинает эти ip банить.При отключённом fail2ban всё работает.Из-за чего такое происходит? В правилах iptables эти ip также указаны c -j ACCEPT
fail2ban отключён
111 192.168.1.100 5060 OK (15 ms)
112 192.168.1.100 5060 OK (14 ms)
119 192.168.1.102 5061 OK (11 ms)
После подключения
111 192.168.1.100 5060 UNREACHABLE
112 192.168.1.100 5060 UNREACHABLE
119 192.168.1.102 5061 UNREACHABLE
Кусок лога где видно как он срабатывает
2013-09-27 05:07:20,781 fail2ban.filter : INFO Added logfile = /var/log/secure
2013-09-27 05:07:20,782 fail2ban.filter : INFO Set maxRetry = 4
2013-09-27 05:07:20,784 fail2ban.filter : INFO Set findtime = 600
2013-09-27 05:07:20,785 fail2ban.actions: INFO Set banTime = 36000
2013-09-27 05:07:20,863 fail2ban.jail : INFO Creating new jail 'asterisk-iptables'
2013-09-27 05:07:20,863 fail2ban.jail : INFO Jail 'asterisk-iptables' uses Gamin
2013-09-27 05:07:20,865 fail2ban.filter : INFO Added logfile = /var/log/asterisk/full
2013-09-27 05:07:20,866 fail2ban.filter : INFO Set maxRetry = 3
2013-09-27 05:07:20,867 fail2ban.filter : INFO Set findtime = 600
2013-09-27 05:07:20,868 fail2ban.actions: INFO Set banTime = 36000
2013-09-27 05:07:20,870 fail2ban.filter : ERROR No 'host' group in 'NOTICE.* .*: Registration from '.*' failed for ':.*' - Wrong password'
2013-09-27 05:07:20,872 fail2ban.filter : ERROR No 'host' group in 'NOTICE.* .*: Registration from '\".*\".*' failed for '' - Wrong password'
2013-09-27 05:07:20,874 fail2ban.filter : ERROR No 'host' group in 'NOTICE.* .*: Registration from '\".*\".*' failed for '' - No matching peer found'
2013-09-27 05:07:20,934 fail2ban.jail : INFO Jail 'ssh-iptables' started
2013-09-27 05:07:20,936 fail2ban.jail : INFO Jail 'asterisk-iptables' started
2013-09-27 05:07:33,965 fail2ban.actions: WARNING [asterisk-iptables] Ban 192.168.1.100
2013-09-27 05:07:42,973 fail2ban.actions: WARNING [asterisk-iptables] Ban 192.168.1.102
Кусок jail.conf с записью игнора IP
[DEFAULT]
# "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not
# ban a host which matches an address in this list. Several addresses can be
# defined using space separator.
ignoreip = 127.0.0.1
ignoreip = 192.168.1.102
ignoreip = 192.168.1.100
Писал игнор и в строку и в столбик результат один Кусок фильтра asterisk.conf
VERBOSE.*SIP/<HOST>-.*Received incoming SIP connection from unknown peer
NOTICE.* .*: Sending fake auth rejection for device.* \(<HOST>:.*\)
NOTICE.* .*: Failed to authenticate device.* \(<HOST>:.*\)
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex = 192.168.1.1 192.168.1.100 192.168.1.102
изза того, что вы неверно сконфигурировали fail2ban. в вашем случае это все еквивалентно только последнему. ну и регексп у вас вообще уникальный. он вообще ничему не сматчится.
добавте все в ignoreip в строчку через пробел. проверьте что у вас нигде больше нет строчки ignoreip с другим набором. работает ПОСЛЕДНЯЯ!!!! строчка.
если хотите через регексп, то рексп будет вот так както выглядеть.
ignoreregex = .*HOST=192\.168\.1\.(1|100|102)
точнее - посмотриет как у вас регексп который матчит написан.
Для анализа регулярок есть замечательная утилита fail2ban-regex
zzuz ( 2013-09-29 13:08:51 +0400 )редактироватьЗадан: 2013-09-29 00:31:13 +0400
Просмотрен: 2,176 раз
Обновлен: Sep 29 '13
Проект компании "АТС Дизайн"
Asterisk® и Digium® являются зарегистрированными торговыми марками компании
Digium, Inc., США.
IP АТС Asterisk распространяется под лицензией
GNU GPL.
The tag "<HOST>" can
be used for standard IP/hostname matching and is only an alias for
(?:::f{4,6}:)?(?P<host>\S+)
Если следовать этому правилу то должно быть ignorereges = <HOST> = 192.168.1.100/192.168.102 Это правильно?
petr1968 ( 2013-09-29 01:41:54 +0400 )редактировать