在 HAProxy 中阻止 IP

Question 1

感谢 EEAA 的评论，我能够使用 fail2ban 解决这个问题。

然而，关于如何将 fail2ban 与 HAProxy 结合使用的文档非常少 —— 事实上，这个页面已经接近 Google 搜索“haproxy fail2ban”的顶部，因此我将详细说明我是如何做到的。

首先，安装 fail2ban。如果你做不到这一点，那么你最好不要继续，除非你寻求更多的帮助。

fail2ban 的工作原理是扫描您的访问日志，查找您设置的模式。如果它在 Y 秒内发现该模式 X 次，它将自动禁止该 IP Z 秒。

您的 HAProxy 日志应该位于/var/log/haproxy.log。如果负载过重，日志可能会太大而无法使用 Vim 或 Nano 打开，因此只需使用 tail 查看最后几行：tail -n50 /var/log/haproxy.log

我的日志中的一个“坏”条目的示例如下：

Jun  3 16:48:03 hap-server haproxy[21751]: 178.159.100.29:48806 [03/Jun/2017:16:48:03.735] www-https-test~ www-backend/www-04 172/0/2/3/177 200 339 - - ---- 36/36/0/0/0 0/0 "GET /login HTTP/1.1"

我们希望 fail2ban 掌握的重要信息是攻击者的 IP 和他们访问的页面。

要告诉 fail2ban 如何执行此操作，首先我们要创建一个过滤器。在文件夹中创建一个文件/etc/fail2ban/filter.d。我将其命名为applogin.conf，但您可以随意命名，只要它以结尾即可.conf。

内容如下：

[Definition]

failregex = ^.*haproxy\[[0-9]+\]: <HOST>:.* "(GET |POST )/login HTTP/1.1"$
ignoreregex =

<HOST>是日志中 IP 地址出现的行点。如果您想使用与我相同的正则表达式，请将其替换/login为攻击者在您的服务器上瞄准的地址。

现在您必须告诉 fail2ban 您希望它查找该过滤器。复制一份/etc/fail2ban/jail.conf（以防您搞砸了并需要重新开始），然后打开jail.conf并在底部添加以下几行。

[app-login]
enabled  = true
bantime  = 1200
findtime = 120
maxretry = 6
filter   = applogin
logpath  = /var/log/haproxy.log
port     = http,https

方括号内的部分只是名称 - 您可以使用任何名称。 bantime是用户被禁止的秒数。maxretry是用户在几秒钟内可以访问页面的次数findtime。因此，在我的示例中，如果有人在 2 分钟内尝试访问 www.mydomain.com/login 超过六次（或者可能正好六次，我不确定），那么他们将被禁止 20 分钟。 filter是您创建的文件的名称/etc/fail2ban/filter.d（但没有.conf）。 logpath是您希望它在其中搜索的日志文件的路径。

保存该文件，然后重新启动 fail2ban：service fail2ban restart 跟踪 fail2ban 日志文件：tail -f /var/log/fail2ban.log希望在一两分钟后，您将开始看到类似的内容

2017-06-03 17:04:32,040 fail2ban.actions: WARNING [app-login] Ban 146.185.200.122

就是这样！您不会受到坏人的攻击（不管怎样，那些试图访问该特定页面的人）。

注意 - 您可能还会在 fail2ban 日志中看到一些 SSH 禁令。安装时它会自动为 SSH 创建一些规则，所以不要惊慌。

Answer