Имеется убунту 14.04 fail2ban и freepbx.
freepbx ложит логи секьюрити в /var/log/asterisk/freepbx_security.log
Фильтр настроен так:
[
Код: Выделить всё
Definition]
#__pid_re = (?:\[\d+\])
# All Asterisk log messages begin like this:
log_prefix= \[\]\s*
#failregex = ^%(log_prefix)s Authentication failure for '[^']*' \(from <HOST>\)$
failregex = ^%(log_prefix)s Authentication failure for .* from <HOST>
ignoreregex =
jail так:
Код: Выделить всё
[pbx-gui]
enabled = true
filter = freepbx
port = http,https
#action = iptables-allports[name=pbx-gui, protocol=all, port=http,https]
logpath = /var/log/asterisk/freepbx_security.log
bantime = 86400
maxretry = 3
Настройки по умолчанию такие
Код: Выделить всё
ignoreip = 127.0.0.1/8 192.168.2.0/24
bantime = 86400
findtime = 600
maxretry = 4
backend = auto
Если сделать sudo fail2ban-regex /var/log/asterisk/freepbx_security.log /etc/fail2ban/filter.d/freepbx.conf то:
Running tests
=============
Use failregex file : /etc/fail2ban/filter.d/freepbx.conf
Use log file : /var/log/asterisk/freepbx_security.log
Results
=======
Failregex: 35 total
|- #) [# of hits] regular expression
| 1) [35] ^\[\]\s* Authentication failure for .* from <HOST>
`-
Ignoreregex: 0 total
Date template hits:
|- [# of hits] date format
| [35] Year-Month-Day Hour:Minute:Second
`-
Lines: 35 lines, 0 ignored, 35 matched, 0 missed
Тоесть по моему все работает 35 совпадений. Но сколько не ломись не срабатывает fail2ban, ни в логах не пишет что поймал бан ни на самом деле не блокирует, хотя вот ssh он блокирует на ура. логах fail2ban все нормуль:
2015-08-13 16:23:36,714 fail2ban.jail : INFO Creating new jail 'pbx-gui'
2015-08-13 16:23:36,714 fail2ban.jail : INFO Jail 'pbx-gui' uses poller
2015-08-13 16:23:36,715 fail2ban.jail : INFO Initiated 'polling' backend
2015-08-13 16:23:36,715 fail2ban.filter : INFO Added logfile = /var/log/asterisk/freepbx_security.log
2015-08-13 16:23:36,715 fail2ban.filter : INFO Set maxRetry = 3
2015-08-13 16:23:36,716 fail2ban.filter : INFO Set findtime = 600
2015-08-13 16:23:36,716 fail2ban.actions: INFO Set banTime = 86400
2015-08-13 16:23:36,719 fail2ban.jail : INFO Jail 'ssh' started
2015-08-13 16:23:36,720 fail2ban.jail : INFO Jail 'ssh-ddos' started
2015-08-13 16:23:36,721 fail2ban.jail : INFO Jail 'apache' started
2015-08-13 16:23:36,721 fail2ban.jail : INFO Jail 'apache-multiport' started
2015-08-13 16:23:36,723 fail2ban.jail : INFO Jail 'apache-noscript' started
2015-08-13 16:23:36,724 fail2ban.jail : INFO Jail 'apache-overflows' started
2015-08-13 16:23:36,725 fail2ban.jail : INFO Jail 'pbx-gui' started
Подскажите что не так я намудрил?