Добрый день. Прошу помощи в следующем вопросе. Имеется Centos7, firewalld, asterisk13, FreePBX
/etc/fail2ban/jail.conf: (Пробовал несколько вариантов action ни один не сработал)
[asterisk]
enabled = true
filter = asterisk
action = firewallcmd-ipset
#action = iptables-allports[name=ASTERISK, protocol=all]
# sendmail[name=ASTERISK, dest=ivanv@domain, sender=fail2ban@local.local]
logpath = /var/log/asterisk/full
maxretry = 2
bantime = 259200
findtime = 21600
/etc/fail2ban/filter.d/asterisk.conf:
[INCLUDES]
# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf
[Definition]
_daemon = asterisk
__pid_re = (?:\[\d+\])
iso8601 = \d{4}-\d{2}-\d{2}T\d{2}:\d{2}:\d{2}\.\d+[+-]\d{4}
# All Asterisk log messages begin like this:
log_prefix= (?:NOTICE|SECURITY)%(__pid_re)s:?(?:\[C-[\da-f]*\])? \S+:\d*( in \w+:)?
failregex = ^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Registration from '[^']*' failed for '<HOST>(:\d+)?' - (Wrong password|Username/auth name mismatch|No matching peer found|Not a local domain|Device does not match ACL|Peer is not supposed to register|ACL error \(permit/deny\)|Not a local domain)$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Call from '[^']*' \(<HOST>:\d+\) to extension '\d+' rejected because extension not found in context 'default'\.$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host <HOST> failed to authenticate as '[^']*'$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s No registration for peer '[^']*' \(from <HOST>\)$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Host <HOST> failed MD5 authentication for '[^']*' \([^)]+\)$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s Failed to authenticate (user|device) [^@]+@<HOST>\S*$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s hacking attempt detected '<HOST>'$
^(%(__prefix_line)s|\[\]\s*)%(log_prefix)s SecurityEvent="(FailedACL|InvalidAccountID|ChallengeResponseFailed|InvalidPassword)",EventTV="([\d-]+|%(iso8601)s)",Severity="[\w]+",Service="[\w]+",EventVersion="\d+",AccountID="(\d*|<unknown>)",SessionID=".+",LocalAddress="IPV[46]/(UDP|TCP|WS)/[\da-fA-F:.]+/\d+",RemoteAddress="IPV[46]/(UDP|TCP|WS)/<HOST>/\d+"(,Challenge="[\w/]+")?(,ReceivedChallenge="\w+")?(,Response="\w+",ExpectedResponse="\w*")?(,ReceivedHash="[\da-f]+")?(,ACLName="\w+")?$
^(%(__prefix_line)s|\[\]\s*WARNING%(__pid_re)s:?(?:\[C-[\da-f]*\])? )Ext\. s: "Rejecting unknown SIP connection from <HOST>"$
Делаю проверку правил:
fail2ban-regex /var/log/asterisk/full /etc/fail2ban/filter.d/asterisk.conf
Results
=======
Failregex: 50 total
Т.е. правила вроде настроены правильно
Но когда пытаюсь подключиться с неправильным паролем или без пароля - то fail2ban не добавляет ip - в бан.
спросил
2016-02-02 18:38:36 +0400
ipvinner 54 ● 42 ● 5 ● 28
Время бана меняли? Попробуйте для начала вернуть стандартное.
Out ( 2016-02-02 19:26:04 +0400 )редактироватьтут скорей надо спросить - удалил ли он firewalld и перешел ли на iptables = потому как я перешел и у меня всё банит. В стандарной настройке там отдельный файлик лежит для firewalld который точно работает. И еще вопрос SSH банит ?
awsswa ( 2016-02-02 22:54:18 +0400 )редактироватьПопробовал поменять время бана на 3600 или вообще закоментировать и использовать по умолчанию.
По ssh банит удачно. Так, что использовать firewalld и fail2ban с asterisk нельзя?
ipvinner ( 2016-02-03 13:35:32 +0400 )редактироватьРаз SSH банит значит конфигурация рабочая - пробовали сменить action = firewallcmd-ipset на banaction = тря-ля-ля
awsswa ( 2016-02-03 15:42:05 +0400 )редактироватьуже попробовал - все равно не работает. В логе нет активности, хотя Jail 'asterisk' started
ipvinner ( 2016-02-03 19:10:00 +0400 )редактировать