问题标签 [fail2ban]

我想使用 aregex-variable将CIDR子网掩码从 filter.conf 提交到 action.conf。这个想法是用fail2ban阻止/禁止一个 ip-range 。由于iptables与CIDR一起使用，我想通过 fail2ban 使用它。这可能吗？

---

所以我想将failregex 变量 mask提交给动作脚本。这是我创建mask变量的失败正则表达式：

filter.d/test-filter.conf

---

我的测试字符串如下所示10.10.10.10/16 [2015-02-11 12:00:00]：

---

这是我的动作脚本，如果我mask直接或通过jail.local设置变量（如：），它可以正常工作action = test-action[mask=16]。

action.d/test-action.conf

这是我的 jail.local （没有任何变量集）。

监狱本地

使用本指南在 Fedora 20 服务器（在数字海洋上运行）成功安装 fail2ban 后，我检查了 fail2ban 日志，发现有多个“[Errno 24] Too many open files”错误。

我四处搜索并意识到我需要增加 fail2ban 的文件描述符数量（目前为 1024），但找不到有效的解决方案。

如何增加fail2ban的文件描述符数量，或者在这种环境下还有其他解决方法吗？

嗨团队，首先感谢您投入宝贵的时间来帮助像我这样的初学者。

我在 centos 中安装了 failed 2 ban

在我的 haproxy 日志中

如何阻止

我已经完成了以下步骤，如果有任何错误请纠正

==================================================== =========

命令：

文件：

==================================================== ====================

命令：

输出粘贴在下面：

如何通过命令行手动禁止使用 Fail2Ban 的攻击者 IP？

我为我的 apache2 网络服务器制作了一个简单的脚本来对抗网络爬虫。一切正常，但 MSN 机器人正在触发 fail2ban。我制作了另一个我想通过 cron 运行的脚本，但需要一个确切的命令来解禁以下 IP 范围：

我正在寻找这样的东西： iptables -D INPUT -p all -s 157.54.0.0/16 -j DROP 等？谢谢！

我配置了我的 Ubuntu 14.04、Nginx 1.6.2 服务器 fail2ban 来阻止 noscript 请求。该服务器运行两个 WordPress 站点。

当我在做 wp-admin area 工作时，我随机被禁止了。当我查看 fail2ban 日志时，我可以看到fail2ban.actions: WARNING [nginx-noscript] Ban xxx.xxx.xxx.xx. 我已启用电子邮件通知，但我没有收到任何有关此禁令的电子邮件通知。但是 SSH 禁止我收到电子邮件通知。

我想知道有什么办法可以阻止这种错误/不正确的禁令行动？另外，我如何获得每个 IP 禁止操作电子邮件警报？

jail.local 文件：- http://pastebin.com/4ThbnzKD

jail.conf :- http://pastebin.com/zPZ0975W

我遇到了似乎有人在攻击我的服务器的问题。我安装了 plesk 12 和 Fail2Ban 和 ModSecurity，但它似乎对以下内容没有帮助。当我使用wireshark检查时，来自某个IP地址的人不断导致以下流量：
162.916029 xxxx -> 69.207.6.43 HTTP Continuation or non-HTTP traffic
162.916034 xxxx -> 69.207.6.43 HTTP Continuation or non-HTTP traffic
162.916041 xxxx -> 69.207。 6.43 HTTP 继续或非 HTTP 流量
162.916045 xxxx -> 69.207.6.43 HTTP 继续或非 HTTP 流量
162.916051 xxxx -> 69.207.6.43 HTTP 继续或非 HTTP 流量

这导致apache进程消耗大量CPU资源。我猜这是一次小型 DDOS 攻击。当我检查 top 时，服务器本身的 CPU 并没有显示出那么糟糕的负载。

我试图弄清楚fail2ban 或modsecurity 中是否有一种方法可以自动过滤这种类型的流量，而不必使用cisco 防火墙。

我已经安装了fail2ban并配置了星号，它工作正常。但是有一个注册尝试是一致的，fail2ban 无法禁止它，因为它与我认为的任何正则表达式不匹配.. 注册尝试字符串是

NOTICE[15055][C-00009bed]: chan_sip.c:25679 handle_request_invite: 无法验证设备 333sip:333@xxxx;tag=3a726ea9

这个注册声明没有给出任何 ip 它来自..请告知..我认为我们可以为这个声明添加一个正则表达式声明......或任何其他解决方案来阻止这种尝试。这种尝试频率就像每天 5-10 次尝试。在我的设置中，它禁止 3 次尝试。

我想运行一个带有中央日志和fail2ban服务的 docker 容器，以防止 dos/ddos 攻击。

我在运行具有此类功能的容器时遇到问题，它还可以修改主机 iptables。

有一个项目ianblenke/docker-fail2ban但是它不起作用...

授予容器标志特权仅允许我控制iptables此容器。有没有办法iptables通过容器控制主机？

问候。

我不擅长正则表达式 - 因此我似乎无法匹配表示暴力 smtp 攻击的 plesk 邮件日志字符串 -

我的日志如下所示：

在某些情况下，它也看起来像这样

我的正则表达式尝试匹配用户名失败和密码看起来像这样

连同 20 多个其他无济于事的组合 - 大多数时候结果是这样的错误

谢谢