启用 Fail2ban 后我们可以在 /var/log/fail2ban.log 中查看到被禁用的IP日志,从中可以发现有很多被屏蔽的IP出现反复解除屏蔽又再次屏蔽的情况,通过下面的方式可以对这类顽固IP进行长时间的屏蔽。

先决条件

  • 确保 fail2ban.conf 中 loglevel 的日志级别为 NOTICE 或 INFO。
  • 修改 fail2ban.conf 中 dbpurgeage 的值为 648000,即7.5 天。

规则设置

1、新增 /etc/fail2ban/filter.d/fail2ban-recidive.conf 文件

[Definition]
failregex =  Ban <HOST>$
ignoreregex = \[fail2ban-recidive\] Ban <HOST>$

2、检测过滤规则是否正确匹配:
fail2ban-regex /var/log/fail2ban.log /etc/fail2ban/filter.d/fail2ban-recidive.conf /etc/fail2ban/filter.d/fail2ban-recidive.conf

3、新建 /etc/fail2ban/jail.d/fail2ban-recidive.conf 文件

[fail2ban-recidive]
enabled = true
filter = fail2ban-recidive
banaction = %(banaction_allports)s
logpath  = /var/log/fail2ban.log
bantime  = 604800  ; 1 week
findtime = 86400   ; 1 day
maxretry = 5

4、重新启动 fail2ban
systemctl restart fail2ban


原文链接地址:http://blog.exsvc.cn/article/fail2ban-block-recidive.html
转载请注明:转载自 易科博客 ,谢谢!

发表评论

电子邮件地址不会被公开。 必填项已用*标注