LINUX.ORG.RU
ФорумAdmin

не срабатывает fail2ban фильтр postfix-sasl.conf

 , ,


0

1

В mail.log периодически появляются строки вида: 

Apr 18 21:39:32 mail postfix/smtpd[44425]: warning: unknown[181.214.206.44]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Я прописал в jail.local: 

[postfix-sasl]

enabled  = true
port = smtp,ssmtp,submission,imap2,imap3,imaps
logpath  = /var/log/mail.log
filter   = postfix-sasl
#action = %(action_mwl)s
bantime  = -1
findtime  = 240
maxretry = 2

Куда копать?

Но айпишники не банятся: 

# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-dovecot-iptables  tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 110,995,143,993
f2b-SSH    tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 22

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain f2b-SSH (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain f2b-dovecot-iptables (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain f2b-postfix-sasl (0 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain f2b-sshd (1 references)
target     prot opt source               destination
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

текущие настройки в фильтре (добавил пробел в failed( :) 

failregex = ^%(__prefix_line)swarning: [-._\w]+\[<HOST>\]: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed( : [ A-Za-z0-9+/:]*={0,2})?\s*$

ignoreregex =

добавил пробел в failed

Зачем? ″fail2ban-regex″ стал работать с этим регекспом?

mky ★★★★★
()
Ответ на: комментарий от Bootmen

раскомментировал, перезапустил fail2ban, не помогло-правила в iptables не добавлены, в mail.log по прежнему 

Apr 19 07:55:39 mail postfix/smtpd[2140]: connect from unknown[181.214.206.44]
Apr 19 07:55:41 mail postfix/smtpd[2140]: warning: unknown[181.214.206.44]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

gigantischer
() автор топика
Ответ на: комментарий от mky

нет не стал работать с этим регекспом, но в сообщенииях в mail.log был пробел после SASL LOGIN authentication failed:, а в дефолтном регекспе после failed: не было пробела (нагуглил такой баг)...

gigantischer
() автор топика
Ответ на: комментарий от gigantischer

Вот работающая схемка:

файл jail.local

[sasl]
enabled = true
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
findtime    = 20800
maxretry    = 2
#bantime  = -1
bantime  =  2592000
action      = route
usedns = no

файл sasl.conf

failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authenti
cation failed(: [ A-Za-z0-9+/]*={0,2})?\s*$
Bootmen ☆☆☆
()
Ответ на: комментарий от Bootmen

Если использовать:

action = route

То в iptables записи не будет. Проверить баны можно командой route Который покажет типа такого: 

root@mail2:~# route
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
5.196.175.185   -               255.255.255.255 !H    0      -        0 -
5.202.74.4      -               255.255.255.255 !H    0      -        0 -
5.202.77.20     -               255.255.255.255 !H    0      -        0 -
(список забаненых) Или глянуть в fail2ban.log

Bootmen ☆☆☆
()
Последнее исправление: Bootmen (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Ура! Спасибки огромное! Наконец-то зашуршало....

gigantischer
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin