Firewall & Fail2Ban

Salut je réveille ce topic… Je regarde du coté de fail2ban car en jettant un oeil a mes log sur postfix j’ai découvert ça

Dec 30 20:29:50 totofr postfix/anvil[4351]: statistics: max connection rate 1/60s for (smtp:195.22.126.241) at Dec 30 20:26:29
Dec 30 20:29:50 totofr postfix/anvil[4351]: statistics: max connection count 1 for (smtp:195.22.126.241) at Dec 30 20:26:29
Dec 30 20:29:50 totofr postfix/anvil[4351]: statistics: max cache size 1 at Dec 30 20:26:29

je me suis un peu cassé la tête et je trouve qu’il est dommage de ne pas avoir de lieu ou centraliser les regex pour fail2ban
Ce n’est pas la première fois que je trouve cet outil très intéressant pour gérer la sécurité.
J’ai donc créé une jail ici /etc/fail2ban/jail.d/maxou-smtp-statistics.conf

[smtpmaxconnection]

enabled  = true
port     = smtp,ssmtp,submission
filter   = maxou-smtp-statistics
logpath  = /var/log/mail.log
maxretry = 2
findtime = 900
bantime = 6000

Avec mon filtre de référence ( après le filter = ci dessus )
mon filtre se trouve ici /etc/fail2ban/filter.d/maxou-smtp-statistics.conf
il contient mon regex pour récupérer les noms d’hote que je souhaite bannir

[Definition]
failregex = max connection rate 1/60s for \(smtp:<HOST>.*
ignoreregex =

En le testant dans le log de postfix

root@totofr:/media/disk2/transmission-completed/Partage# fail2ban-regex -v /var/log/mail.log /etc/fail2ban/filter.d/maxou-smtp-statistics.conf 

Running tests
=============

Use   failregex file : /etc/fail2ban/filter.d/maxou-smtp-statistics.conf
Use         log file : /var/log/mail.log


Results
=======

Failregex: 61 total
|-  #) [# of hits] regular expression
|   1) [61] max connection rate 1/60s for \(smtp:<HOST>.*
|      80.82.77.83  Mon Dec 19 03:07:30 2016

Je n’ai pas mis la suite il m’a choppé 61 lignes avec IP good job :slight_smile:
Et au bout d’une minute le couillon qui s’excitait sur mon postfix se fait bannir.

2016-12-30 20:40:33,697 fail2ban.actions[4742]: WARNING [smtpmaxconnection] Ban 195.22.126.241

Au passage on ne peut pas accéder aux logs de fail2ban coté admin web !