fail2ban-regex过滤错过

Question

我不确定你为什么要用 fail2ban 阻止一个已经被 fail2ban 阻止过的 IP，但无论如何……

我发现两个问题导致您的 fail2ban 过滤器不起作用。

<HOST>您的 failregex 行中没有标签。

*将failregex 行末尾的替换为<HOST>。这将告诉 fail2ban 日志文件的哪一部分行代表要禁止的 IP。

你的正则表达式不正确。

代替

^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2},\d{3} ([a-z])\w+.([a-z])\w+ [\d]: NOTICE [([a-z])\w+-([a-z])\w+] Ban <HOST>

经过

^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2},\d{3} \w+\.\w+ \[.*\]: NOTICE \[\w+\-\w+\] Ban <HOST>

或者更简单地表达

^\.* Ban <HOST>$

Answer 1

我不确定你为什么要用 fail2ban 阻止一个已经被 fail2ban 阻止过的 IP，但无论如何……

我发现两个问题导致您的 fail2ban 过滤器不起作用。

<HOST>您的 failregex 行中没有标签。

*将failregex 行末尾的替换为<HOST>。这将告诉 fail2ban 日志文件的哪一部分行代表要禁止的 IP。

你的正则表达式不正确。

代替

^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2},\d{3} ([a-z])\w+.([a-z])\w+ [\d]: NOTICE [([a-z])\w+-([a-z])\w+] Ban <HOST>

经过

^\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2},\d{3} \w+\.\w+ \[.*\]: NOTICE \[\w+\-\w+\] Ban <HOST>

或者更简单地表达

^\.* Ban <HOST>$

相关内容