Gracias por responder Carlos, el problema es que fail2ban banea solo
intentos fallidos de acceso pero tengo en el log del mail por ejemplo
ataques con estos conceptos
max connection count 1 for
connect from unknown
auth failed
authentication failure
Por eso saco esas ips y las baneo por iptables adicional a las que banea
fail2ban que por cierto no son las mismas
--
|Saludos Cordiales
|César Martínez M. | Ingeniero de Sistemas
|Consultor & Proyectos Software Libre| SERVICOM
|Teléfono: (593-2)554-271 2221-386 | Ext 4501
|Celular:593 999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y Cuero y Caicedo
|Quito - Ecuador - Sudamérica
El 21/09/17 a las 19:34, Carlos Martinez escribió:
Cordial saludo.
Es extraño que debas usar sed con fail2ban. Se supone que fail2ban
hace todo incluyendo el manejo de IPs o segmentos de red excluidos.
Revisa el parámetro ignoreip dentro de la sección [DEFAULT] en el
archivo jail.local. El asunto es como el siguiente:
[DEFAULT]
ignoreip = 127.0.0.1/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 8.8.8.8/12
Mensaje importante:
Este correo y sus archivos adjuntos pueden contener datos e
información confidencial y/o privilegiada de RADY CONSULTORES o de
terceros para conocimiento y uso exclusivo de los destinatarios
correctos y/o de las personas que expresamente en estos se indiquen.
Si usted lo recibió por error, le solicitamos notificarlo de inmediato
al remitente y abstenerse de divulgar, reenviar, almacenar, imprimir,
reproducir, publicar o utilizar de alguna forma la información o el
contenido de este mensaje y sus anexos.
Las opiniones personales que se hayan incluido, se entiende que son de
su autor y en ningún caso representan los intereses de la empresa
RADY CONSULTORES.
2017-09-21 9:58 GMT-05:00 César Martinez :
Saludos amigos listeros espero todos se encuentren bien, acudo a ustedes con
una peque consulta, tengo un servidor de correo el cuál esta siendo atacado
constantemente e instalado ya fail2ban pero aún así son repetitivos los
intentos de acceso de usuarios, tengo claves fuertes para los usuarios de
correo, estoy creando un script donde se lee los logs saca las direcciones
ips atacantes hacia un archivo y luego via iptables bloqueo estas ips, pero
necesito que las ips del segmento de la lan que encuentre en los logs no las
banee, aquí lo que tengo haber si alguien me puede echar una mano
sed -i 's/192.168.0.$/192.168.100.23/g' /archivo
Ejecuto no me da error pero no reemplaza las direcciones ips
Si lo hago de uno en uno funciona pero quiero que sea a nivel de todo el
segmento
sed -i 's/192.168.0.86/192.168.100.23/g' /archivo
Con esta linea si funciona
Gracias a todos los que puedan ayudarme
--
|Saludos Cordiales
|César Martínez M. | Ingeniero de Sistemas
|Consultor & Proyectos Software Libre| SERVICOM
|Tel: (593-2)554-271 2221-386 | Ext 4501
|Celular:(593 999374317 |Skype servicomecuador
|Web www.servicomecuador.com Síguenos en:
|Twitter: @servicomecuador |Facebook: servicomec
|Zona Clientes: www.servicomecuador.com/billing
|Blog: http://servicomecuador.com/blog
|Dir. Av. 10 de Agosto N29-140 Entre
|Acuña y Cuero y Caicedo
|Quito - Ecuador - Sudamérica
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es
___
CentOS-es mailing list
CentOS-es@centos.org
https://lists.centos.org/mailman/listinfo/centos-es
