LINUX.ORG.RU
ФорумAdmin

Правило fail2ban для 3proxy

 , ,


0

1

Приветствую.

Сервер vps под debian9. Установлен fail2ban 0.9.6-2. Настроено и, по факту, чётко работает правило sshd. Установил «для себя» 3proxy с аутентификацией по паролю. Иногда вижу всякие/разные/непонятные IP в его журнале, поэтому хотел его тоже отдать под fail2ban. Но не получается. В правиле изменил только порт и путь к журналу:

[3proxy]
enabled  = true
port     = 12345
logpath  = /var/log/3proxy/3proxy.log

Само правило fail2ban видит:

Status for the jail: 3proxy
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/3proxy/3proxy.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:

Но по факту - ничего не происходит. Вы скажете - action не указан. Да, не указан. Но действия и для sshd не указаны, а правило работает. Здесь у меня нет понимания, если честно.

И непонятно с regex. 3proxy предлагает вариативность формата журнала. Дефолтный regex для правила 3proxy:

^\s[+-]\d{4} \S+ \d{3}0[1-9] \S+ <HOST>:\d+ [\d.]+:\d+ \d+ \d+ \d+\s

Как надо/лучше поступить - подогнать формат журнала под дефотный regex или изменить regex под свой формат? На самом деле, выборки по коду ошибки \d{3}0[1-9] должно быть достаточным для принятия решения по <HOST>:

2020-07-28 02:17:29:944 PROXY:12345 00005 username 123.123.123.123:12345 CONNECT yandex.ru:443 HTTP/1.1


Изменил logformat - всё заработало. Вопрос снят.

mexx ()
Последнее исправление: mexx (всего исправлений: 1)
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.