Debian-Squeeze

fail2ban 中的多個 IP 地址

  • July 27, 2012

我剛剛在我的一台伺服器上遇到了一連串的 pop3-login 攻擊。我很驚訝 fail2ban 沒有阻止它們,然後我意識到該服務正在偵聽多個 IP 地址,並且攻擊者正在對所有這些地址進行噴灑。Fail2ban 只屏蔽了我的第一個 IP。

fail2ban 有一個 myip=xyza 設置,但它似乎沒有採用多個值。有沒有辦法設置這個?

哦!我的假設不好。我仔細看了看。fail2ban 不會阻止本地 IP,它會正確阻止源。無需配置多個 IP 地址。

問題似乎是他們每秒進行數十次嘗試。

2012-07-26 10:41:25,771 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 74.63.241.177
2012-07-26 10:41:27,825 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177   already banned
2012-07-26 10:41:28,827 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
2012-07-26 10:41:30,829 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned

在 fail2ban 響應之前增加程序計數就足夠了。攻擊的數量和在多個 IP 上的傳播讓我措手不及。

引用自:https://serverfault.com/questions/411579