Fail2ban-Regel für Named erstellen

Question

Du hast nicht angegeben, worum es grundsätzlich geht, darüber hinaus weder einen Log-Auszug mit Meldungen, die Du im Filter abfangen willst, noch den Versuch, was fail2ban-regex -vman mit dem Filter findet.

Ich schätze, die Nachricht sieht so aus:

Jan 26 14:00:10 srv named[26403]: client 192.0.2.100#21324 (example.com): rate limit drop all response to 192.0.2.0/24

Dann sind hier zwei Dinge zu beachten – erstens kommt die IP nach dem Client (hier 192.0.2.100) und am Ende hat sie ein Subnetz (IP/CIDR-Notation, hier 192.0.2.0/24).

Wenn Sie ein Subnetz sperren möchten (sofern Ihr Fail2Ban und die gewählte Sperraktion überhaupt in der Lage sind, Subnetze zu sperren), können Sie je nach Version Folgendes verwenden:

entweder dies (falls Ihr Fail2ban dies unterstützt <SUBNET>):

failregex = ^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to <SUBNET>

oder dieses:

failregex = ^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to (?:<F-IP4>\d+\.\S+</F-IP4>|<F-IP6>\w+\:\S+</F-IP6>)

Sie können anstelle des Subnetzes auch die IP sperren und dann Folgendes verwenden:

failregex = ^\s*\S+\s+named(?:\[\d+\])?: client <ADDR>[^:]*: rate limit drop all response

fail2ban-regexSie können es beispielsweise auch mit überprüfen :

msg='Jan 26 14:00:10 srv named[26403]: client 192.0.2.100#21324 (example.com): rate limit drop all response to 192.0.2.0/24'
fail2ban-regex "$msg" '^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to <SUBNET>'
...
Lines: 1 lines, 0 ignored, 1 matched, 0 missed

oder verwenden Sie Folgendes, um den Filter mit einer Protokolldatei zu testen:

fail2ban-regex /var/log/named/rate.log named-antispam

Was Ihr prefregexund betrifft failregex- sie sind einfach nicht korrekt. Weder prefregex noch failregex dürfen einen Teil mit Zeitstempelübereinstimmung enthalten datepattern(lesen Sie eine Anleitung in unseremWikioderHandbuch, es beinhaltet: HINWEIS: Dies failregexwird auf den verbleibenden Teil der Nachricht nach der Verarbeitung angewendet prefregex(sofern angegeben), was wiederum nach der Verarbeitung erfolgt datepattern(wobei die Zeitstempelzeichenfolge, die dem besten Muster entspricht, aus der Nachricht ausgeschnitten wird).

Ergibt auch prefregexSinn, wenn Sie eine Vorfilterung benötigen, zum Beispiel wenn Sie mehr als einen Failregex haben (und ein solcher Regex wird entweder auf den gesamten Zeilenabschnitt oder auf den zwischen <F-CONTENT>und eingeschlossenen Teil des übereinstimmenden RE angewendet </F-CONTENT>, falls dieser angegeben ist). Wenn keine Vorfilterung erwartet wird, prefregexergibt das wenig Sinn.

Wenn Sie es aus irgendeinem Grund benötigen, würde es jedenfalls folgendermaßen aussehen:

prefregex = ^\s*\S+\s+named(?:\[\d+\])?: <F-CONTENT>.+</F-CONTENT>$ 

failregex = ^[^:]+: rate limit drop all response to <SUBNET>
#failregex = ^[^:]+: rate limit drop all response to (?:<F-IP4>\d+\.\S+</F-IP4>|<F-IP6>\w+\:\S+</F-IP6>)
#failregex = ^client <ADDR>[^:]*: rate limit drop all response

Answer 1

Du hast nicht angegeben, worum es grundsätzlich geht, darüber hinaus weder einen Log-Auszug mit Meldungen, die Du im Filter abfangen willst, noch den Versuch, was fail2ban-regex -vman mit dem Filter findet.

Ich schätze, die Nachricht sieht so aus:

Jan 26 14:00:10 srv named[26403]: client 192.0.2.100#21324 (example.com): rate limit drop all response to 192.0.2.0/24

Dann sind hier zwei Dinge zu beachten – erstens kommt die IP nach dem Client (hier 192.0.2.100) und am Ende hat sie ein Subnetz (IP/CIDR-Notation, hier 192.0.2.0/24).

Wenn Sie ein Subnetz sperren möchten (sofern Ihr Fail2Ban und die gewählte Sperraktion überhaupt in der Lage sind, Subnetze zu sperren), können Sie je nach Version Folgendes verwenden:

entweder dies (falls Ihr Fail2ban dies unterstützt <SUBNET>):

failregex = ^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to <SUBNET>

oder dieses:

failregex = ^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to (?:<F-IP4>\d+\.\S+</F-IP4>|<F-IP6>\w+\:\S+</F-IP6>)

Sie können anstelle des Subnetzes auch die IP sperren und dann Folgendes verwenden:

failregex = ^\s*\S+\s+named(?:\[\d+\])?: client <ADDR>[^:]*: rate limit drop all response

fail2ban-regexSie können es beispielsweise auch mit überprüfen :

msg='Jan 26 14:00:10 srv named[26403]: client 192.0.2.100#21324 (example.com): rate limit drop all response to 192.0.2.0/24'
fail2ban-regex "$msg" '^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to <SUBNET>'
...
Lines: 1 lines, 0 ignored, 1 matched, 0 missed

oder verwenden Sie Folgendes, um den Filter mit einer Protokolldatei zu testen:

fail2ban-regex /var/log/named/rate.log named-antispam

Was Ihr prefregexund betrifft failregex- sie sind einfach nicht korrekt. Weder prefregex noch failregex dürfen einen Teil mit Zeitstempelübereinstimmung enthalten datepattern(lesen Sie eine Anleitung in unseremWikioderHandbuch, es beinhaltet: HINWEIS: Dies failregexwird auf den verbleibenden Teil der Nachricht nach der Verarbeitung angewendet prefregex(sofern angegeben), was wiederum nach der Verarbeitung erfolgt datepattern(wobei die Zeitstempelzeichenfolge, die dem besten Muster entspricht, aus der Nachricht ausgeschnitten wird).

Ergibt auch prefregexSinn, wenn Sie eine Vorfilterung benötigen, zum Beispiel wenn Sie mehr als einen Failregex haben (und ein solcher Regex wird entweder auf den gesamten Zeilenabschnitt oder auf den zwischen <F-CONTENT>und eingeschlossenen Teil des übereinstimmenden RE angewendet </F-CONTENT>, falls dieser angegeben ist). Wenn keine Vorfilterung erwartet wird, prefregexergibt das wenig Sinn.

Wenn Sie es aus irgendeinem Grund benötigen, würde es jedenfalls folgendermaßen aussehen:

prefregex = ^\s*\S+\s+named(?:\[\d+\])?: <F-CONTENT>.+</F-CONTENT>$ 

failregex = ^[^:]+: rate limit drop all response to <SUBNET>
#failregex = ^[^:]+: rate limit drop all response to (?:<F-IP4>\d+\.\S+</F-IP4>|<F-IP6>\w+\:\S+</F-IP6>)
#failregex = ^client <ADDR>[^:]*: rate limit drop all response

Fail2ban-Regel für Named erstellen

Antwort1

verwandte Informationen