Fail2ban

Support Debian
#1

Bonjour,
j’ai un problème avec fail2ban v0.8.6 sous Debian 3.2.60-1+deb7u3 x86_64
j’ai créé une règle sous jail.conf pour bloquer les adresses ip qui ce répète plus de 10 fois dans une intervalle 600s dans un fichier de log client_ip.log

[ma règle]

enabled = true
port = http,https
filter = règle
protocol = tcp
logpath = /data/client_ip.log
maxretry = 3
findtime = 600
bantime = 600

et j’ai créé le filtre “règle” dans filter.d

[Definition]
failregex = .+?Ip: <HOST>
ignoreregex =

Exemple du fichier client_ip.log (fail2ban doit bloquer l’ip 192.168.77.100)

[code]
[2014-10-16 10:37:10] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.20; proId:22447[] []
[2014-10-16 10:38:03] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:04] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:18] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:19] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:35] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.20; proId:20362 [] []
[2014-10-16 10:39:06] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:40:14] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:40:26] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:40:49] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.20; proId:20362 [] []

[code]
le problème est que cette règle ne fonctionne qu’une seul fois,est il faut que je redémarre fail2ban a chaque fois pour qu’il bloque les nouvelles IP

Merci pour votre aide.

#2

[quote=“drdidji”]Bonjour,
j’ai un problème avec fail2ban v0.8.6 sous Debian 3.2.60-1+deb7u3 x86_64
j’ai créé une règle sous jail.conf pour bloquer les adresses ip qui ce répète plus de 10 fois dans une intervalle 600s dans un fichier de log client_ip.log

[ma règle]

enabled = true
port = http,https
filter = règle
protocol = tcp
logpath = /data/client_ip.log
maxretry = 10
findtime = 600
bantime = 600

et j’ai créé le filtre “règle” dans filter.d

[Definition]
failregex = .+?Ip: <HOST>
ignoreregex =

Exemple du fichier client_ip.log (fail2ban doit bloquer l’ip 192.168.77.100)

[code]
[2014-10-16 10:37:10] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.20; proId:22447[] []
[2014-10-16 10:38:03] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:04] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:18] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:19] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:38:35] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.20; proId:20362 [] []
[2014-10-16 10:39:06] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:40:14] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:40:26] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.21; proId:20362 [] []
[2014-10-16 10:40:49] clientIp.INFO: Ip: 192.168.77.100, 192.168.77.20; proId:20362 [] []

[code]
le problème est que cette règle ne fonctionne qu’une seul fois,est il faut que je redémarre fail2ban a chaque fois pour qu’il bloque les nouvelles IP

Merci pour votre aide.[/quote]