Firewall

Fail2Ban UFW 埠掃描過濾器的問題

  • September 19, 2014

我正在嘗試為 fail2ban 創建一個過濾器,以辨識 UFW 日誌中的埠掃描。

我已經確認我的禁令操作在其他過濾器上正常工作,並且在這種情況下無法創建正確的過濾器/正則表達式 - 我確信這將是我的一個愚蠢的錯誤。
我已經嘗試了 fail2ban-regex 實用程序並獲得了 0 次點擊。

我的jail.local包含:

[ufw-port-scan]
enabled = true
port = all
filter = ufw-port-scan
banaction = ufw-action
logpath = /var/log/ufw.log
maxretry = 10

我嘗試創建的過濾器(放置在 中/etc/fail2ban/filter.d/ufw-port-scan.conf)如下所示:

[Definition]
failregex = kernel: \[UFW BLOCK\] IN=.* SRC=<HOST>
ignoreregex =

我試圖在中辨識的範例行ufw.log

Sep 18 21:06:08 trial kernel: [ 3014.939702] [UFW BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=192.168.0.5 DST=192.168.0.10 LEN=44 TOS=0x00 PREC=0x00 TTL=45 ID=36825 PROTO=TCP SPT=50704 DPT=80 WINDOW=1024 RES=0x00 SYN URGP=0

任何指導將不勝感激 - 謝謝。

你很親密。

failregex = .*\[UFW BLOCK\] IN=.* SRC=<HOST>

並可能刪除port = all(其可選)

您可以使用 fail2ban-regex 執行測試。例如:

fail2ban-regex  /var/log/ufw.log '.*\[UFW BLOCK\] IN=.* SRC=<HOST>'

引用自:https://serverfault.com/questions/629709