LINUX.ORG.RU
ФорумAdmin

fail2ban

 


0

2

Подскажите пожалуйста как в fal2ban заблокировать данный ip по таким логам:

2020-10-05 18:27:01 auth_login authenticator failed for (User) [212.70.149.5] I=[35.70.211.228]:25: 535 Incorrect authentication data (set_id=dostavka@giri.ru)

2020-10-05 18:27:12 auth_login authenticator failed for (User) [212.70.149.5] I=[95.119.1.3]:25: 535 Incorrect authentication data (set_id=copia@giri.ru)

ломится на резерв и на основной канал с перебором ящиков.

Есть такое правило но оно не отрабатывает:

failregex = [] .*(?:rejected by local_scan|Unrouteable address)

[] I=[[0-9.]+]:25: 535 Incorrect authentication data

в квадратных скобках \слеш[<ХОСТ>\слеш]

при проверке выдает вот это:

[root@gateway exim]# fail2ban-regex /var/log/exim/main.log /etc/fail2ban/filter.d/eximnew.conf

Running tests

Use regex file : /etc/fail2ban/filter.d/eximnew.conf Use log file : /var/log/exim/main.log

Traceback (most recent call last): File «/usr/bin/fail2ban-regex», line 372, in ? fail2banRegex.testRegex(line) File «/usr/bin/fail2ban-regex», line 225, in testRegex ret = self.__filter.processLine(line) File «/usr/share/fail2ban/server/filter.py», line 243, in processLine timeMatch = self.dateDetector.matchTime(l) File «/usr/share/fail2ban/server/datedetector.py», line 114, in matchTime match = template.matchDate(line) File «/usr/share/fail2ban/server/datetemplate.py», line 58, in matchDate dateMatch = self.__cRegex.search(line) KeyboardInterrupt

Ответ на: комментарий от Bers666

[]: 535 Incorrect authentication data это стандартное правило оно не подходит под лог, так как в логе есть ещё один ip, но тот который написан я написал не срабатывает.

supp0rtmail2019 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.