Archivo

Posts Tagged ‘Fail2ban configuration’

Fail2Ban

http://www.taringa.net/posts/linux/6681999/Fail2Ban-y-Postfix.HTML

 

En /etc/fail2ban/filter.d/postfix.conf , agregamos las siguientes lineas (o adaptamos)

failregex = reject: RCPT from (.*)[<HOST>]: 550 5.1.1
reject: RCPT from (.*)[<HOST>]: 450 4.7.1
reject: RCPT from (.*)[<HOST>]: 550 5.7.1
Comprobamos que este todo bien con

fenix:~# fail2ban-regex /var/log/zimbra.log /etc/fail2ban/filter.d/postfix.conf|less
Running tests
Si todo marcha bien, la habilitamos en jail.conf , estableciendo enabled = true

[postfix]
enabled = true
port = smtp,ssmtp
filter = postfix
maxretry = 6
bantime = 86400
findtime = 600
action = %(action_)s
logpath = /var/log/zimbra.log

Bloqueo por 24 horas (86.400 segundos, bantime) a aquellos que me molestaron 6 veces (maxretry) en los ultimos 10 minutos (findtime).

Bantime a -1, lo cual lo haria permanente (o hasta que se reinice el server, las reglas de iptables o recarguemos el filtro de fail2ban)

Recargamos fail2ban

fenix:~# fail2ban-client reload

Si queremos ver como va la cosa, utilizamos el comando watch, que cada 2 segundos nos muestra el estado del comando pasado. (Salimos presionando Ctrl+C)

fenix:~# watch fail2ban-client status postfix
Every 2,0s: fail2ban-client status postfix Sun Aug 22 09:42:56 2010

Status for the jail: postfix
|- filter
| |- File list: /var/log/zimbra.log
| |- Currently failed: 598
| `- Total failed: 7657
`- action
|- Currently banned: 342
| `- IP list: 62.194.198.x … …. …. … … … … … … … … 166.227
`- Total banned: 341