我正在尝试为fail2ban创build一个筛选器来识别UFW日志中的端口扫描。
我已经确认我的禁止行为在其他filter上正常工作,并且在这个场合创build正确的filter/正则expression式时遇到了困难 – 我相信这将成为我的一个愚蠢的错误。
我已经尝试了fail2ban-regex工具,并获得了0次。
我的jail.local包含:
[ufw-port-scan] enabled = true port = all filter = ufw-port-scan banaction = ufw-action logpath = /var/log/ufw.log maxretry = 10
我试图创build的filter(位于/etc/fail2ban/filter.d/ufw-port-scan.conf )如下所示:
[Definition] failregex = kernel: \[UFW BLOCK\] IN=.* SRC=<HOST> ignoreregex =
我正在尝试在ufw.log标识一个示例行:
Sep 18 21:06:08 trial kernel: [ 3014.939702] [UFW BLOCK] IN=eth0 OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:00:00 SRC=192.168.0.5 DST=192.168.0.10 LEN=44 TOS=0x00 PREC=0x00 TTL=45 ID=36825 PROTO=TCP SPT=50704 DPT=80 WINDOW=1024 RES=0x00 SYN URGP=0
任何指导将不胜感激 – 谢谢。
你很近
failregex = .*\[UFW BLOCK\] IN=.* SRC=<HOST>
并可能删除port = all (其可选)
您可以使用fail2ban-regex运行testing。 例如:
fail2ban-regex /var/log/ufw.log '.*\[UFW BLOCK\] IN=.* SRC=<HOST>'