Debian-Squeeze

fail2ban 中的多個 IP 地址

  • July 27, 2012

我剛剛在我的一台伺服器上遇到了一連串的 pop3-login 攻擊。我很驚訝 fail2ban 沒有阻止它們,然後我意識到該服務正在偵聽多個 IP 地址,並且攻擊者正在對所有這些地址進行噴灑。Fail2ban 只屏蔽了我的第一個 IP。

fail2ban 有一個 myip=xyza 設置,但它似乎沒有採用多個值。有沒有辦法設置這個?

哦!我的假設不好。我仔細看了看。fail2ban 不會阻止本地 IP,它會正確阻止源。無需配置多個 IP 地址。

問題似乎是他們每秒進行數十次嘗試。

2012-07-26 10:41:25,771 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 74.63.241.177
2012-07-26 10:41:27,825 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177   already banned
2012-07-26 10:41:28,827 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
2012-07-26 10:41:30,829 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned

在 fail2ban 響應之前增加程序計數就足夠了。攻擊的數量和在多個 IP 上的傳播讓我措手不及。

引用自:https://serverfault.com/questions/411579

相關問答

Fail2ban

fail2ban iptables 返回 200,iptables 0 引用

  • May 2, 2022
檢視問答
Security

從 Centos 7 完全刪除後無法重新安裝 fail2ban

  • April 23, 2022
檢視問答
Linux

fail2ban 似乎正在工作,但伺服器仍會收到連接嘗試

  • April 23, 2022
檢視問答
Debian

後綴檢查警告我某些文件不同

  • April 19, 2022
檢視問答
Fail2ban

fail2ban 在 ignoreip 列表中阻止 IP

  • April 12, 2022
檢視問答
Debian

如何使用 Fail2Ban 禁止 Syn Flood 攻擊?

  • April 10, 2022
檢視問答