[SOLUCIONADO] Fail2ban y expresión regular

2018-10-02 Por tema Diego H. Cancelo
Hola Julher.
Me funcionó perfecto, muchas gracias por tu ayuda !!!
Había que ir a lo más sencillo vergüenza me da :P
Muchas gracias nuevamente.

Saludos.
Diego.

El mar., 2 oct. 2018 a las 10:28,  escribió:
>
> El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió:
> > Buenas...
> > Estoy renegando con fail2ban y las expresiones regulares (no son mi
> > fuerte), a ver si alguien me puede tirar una mano.
> > Estuve mirando varias paginas y los filtros ya creados en el servicio
> > para tomarlos como referencia pero no doy en la tecla.
> > Tengo varios logs como estos que genero mediante IPTABLES:
> >
> > Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado:
> > IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00
> > SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119
> > ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN
> > URGP=0
> >
> > En jail.conf tengo:
> >
> > [flooddetectado]
> > enabled  = true
> > port  = all
> > filter   = flooddetectado
> > logpath  = /var/log/messages
> > maxretry = 10
> > action   = iptables-allports[name=flooddetectado,
> > port="22,25,80,443",
> > protocol=tcp]
> >
> > y en los filtros, dentro de flooddetectado.conf :
> >
> > [Definition]
> > failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=$
>
> Intenta con algo más simple, por ejemplo:
>
> failregex = Flood detectado: .* SRC= .*$
>
> Un saludo
>
> JulHer
>
>



Re: Fail2ban y expresión regular

2018-10-02 Por tema julher
El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió:
> Buenas...
> Estoy renegando con fail2ban y las expresiones regulares (no son mi
> fuerte), a ver si alguien me puede tirar una mano.
> Estuve mirando varias paginas y los filtros ya creados en el servicio
> para tomarlos como referencia pero no doy en la tecla.
> Tengo varios logs como estos que genero mediante IPTABLES:
> 
> Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado:
> IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00
> SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119
> ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN
> URGP=0
> 
> En jail.conf tengo:
> 
> [flooddetectado]
> enabled  = true
> port  = all
> filter   = flooddetectado
> logpath  = /var/log/messages
> maxretry = 10
> action   = iptables-allports[name=flooddetectado,
> port="22,25,80,443",
> protocol=tcp]
> 
> y en los filtros, dentro de flooddetectado.conf :
> 
> [Definition]
> failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=$

Intenta con algo más simple, por ejemplo:

failregex = Flood detectado: .* SRC= .*$

Un saludo

JulHer