[SOLVED] Fail2ban mail.log banned contents amavis

Spam, Adathalászat

Sziasztok!

Nem vagyok benne a regexp-ben. Abban kellene segítség, hogy a mail.log-ba az amavis az alábbi bejegyzéseket teszi...

Feb 4 14:34:07 mail amavis[22539]: (22539-01) Blocked BANNED (.exe,oehleckerring_21_22419_hamburg.scr) {BouncedOpenRelay,Quarantined}, [78.15.15.117]...

Ebből ugye nekem a fail2ban-nak át kellene adni az IP címet. Milyen szabályt kellene ráakasztanom a fail2ban-ban? Itt pusztány azt kellene vizsgálnom, hogy a "Blocked BANNED" üzenet megvan-e.

  • 4215 megtekintés

Tudom, hogy na, de... Valami jó magyar nyelvű leírás nincs a regexp-ből? Példákkal, egyebekkel?
Az az én bajom, hogy a webprogramozást is csak úgy tudtam elsajátítani, meg minden más egyebet, hogy van egy kódom, vagy egy kész gép, és azt szétbontom. Így megértem. De ha van egy tankönyv, na ott elhalok.
A kici occi kínaiak szeretnék a technikámat. :)

"Értem én, hogy villanyos autó, de mi hajtja?"

hát szóval, ez a szakma úgy működik, hogy itt az angol a preferált és nem lehet mindig leírni mindent magyarul. Én sem tudtam angolul, de a sok dokumentáció olvasás angolul sokat segített (meg persze az angol szótár). Azóta minden eszközöm angolul használom ( értsd. telefon, számítógép stb.),hogy szokjam a nyelvet :)

Szóval az a rossz hírem, hogy neki kell ülnöd angolozni és megismerkedni a google nyújtotta lehetőségekkel is és meg kell barátkoznod, hogy nem lesz mindig valaki,aki lefordítja neked magyarra a dolgokat.

Ha meg akarsz tanulni "regexp-ül", akkor nézz szét a neten e-book után, hátha van magyarul valami. Könyvesboltban már alig vannak szakmai könyvek.

( dannyboi | 2015. 02. 04., sze – 18:43 )

Nos, az előttem szólóval némileg egyetértek. Mivel azonban olvastam a topicot és már korábban be akartam állítani én is, de valamiért félbemaradt, gondoltam most megcsinálom.

Én most nem vagyok szigorú, így bemásolom, remélem ez elég lesz. :)

Teszteltem, és élesítettem is az egyik hosting szerveremen:


[Definition]
failregex = ^.*amavis\[.*Blocked BANNED.*\[<HOST>\]\:

A végén lévő kettőspont nem kellene, de én inkább túl biztosra megyek. :)

( agostonl | 2015. 02. 11., sze – 05:52 )

Most vajon mit rontottam el...
A fail2ban rendben észreveszi, hogy bannolni kell az IP-t, meg is jelenik a logjában...
2015-02-11 05:39:16,336 fail2ban.actions: WARNING [mail-banned] Ban 78.47.119.33
2015-02-11 05:40:00,390 fail2ban.actions: WARNING [mail-banned] 78.47.119.33 already banned
2015-02-11 05:40:01,391 fail2ban.actions: WARNING [mail-banned] 78.47.119.33 already banned

De mint az látszik, nem tiltja ki az adott IP-t.

A jail.conf ide vonatkozó része így néz ki:
[mail-banned]
enabled = true
port = smtp
filter = mail
action = iptables-allports[name=mail, protocol=tcp]
logpath = /var/log/mail.log
bantime = 600
maxretry = 1

A mail.conf filter, pedig így:

[Definition]
failregex = .*mail amavis.*Blocked BANNED.*\[\].*

***

Persze ha jó szerveren konfigolnák, az nem lenne hátrány. :/
A fenti konfig hibátlanul működik.

"Értem én, hogy villanyos autó, de mi hajtja?"

( tybie | 2015. 02. 11., sze – 07:16 )

csak egy 5let...

sudo iptables -S megmutatja, hogy a fail2ban milyen ipt bannolt

( agostonl | 2015. 02. 11., sze – 12:29 )

Na... egy kis fejlemény, ha más is ilyen cipőbe lép...

Lemásoltam az iptables-allports.conf-ot és az összes iptables sor módosítottam:

ssh root@SPAMFILTER_SZERVER_IP "iptables *"

Ahol a * ugye a ban indítás, ellenőrzés, visszaállítást jelenti.
Ezen kívül a "fail2ban-" át lett mindehol itt írva "fail2ban-remote-" -re
Magyarul a mail szerver távvezérli a spamszűrő iptables-ét.
Tökéletesen működik, de mivel paranoid vagyok, a szűrést a spamszűrőn és a mail szerveren is elvégzem (iptables-allports.conf és iptables-remote-allports.conf is lefut), mert a mail szerver küldi ki a leveleket és ha valaki a belső hálóból bogaras, lefektetheti a szervert, de rosszabb esetbe SPAM listára tesznek.

"Értem én, hogy villanyos autó, de mi hajtja?"