Различия

Показаны различия между двумя версиями страницы.

--- freebsd:network:fail2ban [2020/06/17 15:25] – [Sendmail] andrei
+++ freebsd:network:fail2ban [2020/06/17 19:34] (текущий) – [Jail] andrei
@@ Строка 91: / Строка 91: @@
 ==== Jail ====
+Переходим к настройки самого fail2ban. Создаем файл /usr/local/etc/fail2ban/jail.local:
-jail.local:
 <code>
 [DEFAULT]
 banaction = my-pf
-action = my-pf[table=bruteforce]
+ignoreip = 127.0.0.1 10.1.1.0/24
-ignoreip = 127.0.0.1 10.30.10.0/24
+bantime  = 2h
-bantime  = 7200
+findtime = 1h
-findtime  = 259200
 maxretry = 3
 [ssh]
@@ Строка 125: / Строка 123: @@
 [sendmail-sasl]
 enabled  = true
+bantime  = 24h
 filter   = sendmail-sasl
-action = my-pf[table=bruteforce]
-port="submission,465,smtp", protocol=tcp]
 logpath  = /var/log/maillog
 </code>
-sendmail-sasl.conf:
+Где:
-<code>
+  * **banaction** подключение нашего конфиги для работы с pf;
-# Fail2Ban filter for sendmail authentication failures
+  * **ignoreip** список адресов, которые не надо блокировать;
-#
+  * **bantime** на какое время блокировать ip;
+  * **findtime** промежуток времени в который учитываются повторения.
-[INCLUDES]
+Поумолчанию я блокирую ip на 2 часа, но для нашего правила sendmail-sasl я делал исключение - в таблицу они попадают на сутки.
-before = common.conf
+===== Запуск и отладка =====
-[Definition]
+Запускаем:
-_daemon = sendmail
+<code>
+service fail2ban start
-failregex = ^%(__prefix_line)s\w{12,14}: AUTH failure \(LOGIN\): authentication failure \(-13\) SASL\(-13\): authentication failure: checkpass failed, relay=(\S+ )?\[<HOST>\]( \(may be forged\))?$
-ignoreregex =
 </code>
-sendmail:
+Проверить работу можно изучая лог файл /var/log/fail2ban.log. А так же припомощи специальной команды:
 <code>
-define(`confLOG_LEVEL', `10')dnl
+fail2ban-client status
-</code>
+fail2ban-client status ssh
+</code>