Swisslinux.org

− The GNU/Linux crossroads in Switzerland −

 

Language

 

The Forum

You are not logged in.

#1 12 Dec 2015 21:26:52

cedricscha
Affranchi(e)
 
Registered: 12 Dec 2015
Posts: 2

[fail2ban] création de règle de filtrage

Bonjour,

Voilà quelques jours que je me prends un peu la tête avec fail2ban.

Je débute plus que sérieusement avec ce logiciel et je bute sur une règle qui doit être à priori simple mais qui ne fonctionne pas sur mon serveur.

Posons pour commencer une ligne de log :

Code:

 WARNING[7735][C-0005100c]: Ext. 0048422880552:7 @ Interne: Reception IP01 188.138.33.79 IP02 188.138.33.79 IP03 sip:800@192.168.10.10 IP04 sip:800@192.168.10.10:5078

Je dois donc bannir l'adresse IP qui se trouve après la chaine :

Code:

IP01

J'ai créé la règle suivante sur fail2ban :

Code:

[Definition]

#
log_prefix= \[\]\s*(?:NOTICE|SECURITY|WARNING)%(__pid_re)s:?(?:\[\S+\d*\])? \S+:\d*

failregex = ^%(log_prefix)s Reception IP01 <HOST> IP02 '[^']*' IP03 '[^']*' IP04 '[^']*'

#
ignoreregex =

Et malheureusement, cela ne fonctionne pas, il ne trouve aucune correspondance dans mon fichier de log.

Ma connaissance du REGEX,  étant très basique pour ne pas dire inexistante, j'ai tenté de créer cette règle à partir de règle existante qui fonctionne. Je suppose que je me suis plus que brouter dans ma config, raison pour laquelle je viens vers vous tous.

Je vous remercie d'avance pour les directions ou corrections que vous me fournirez.

Last edited by cedricscha (12 Dec 2015 21:27:13)

Offline

 

#2 15 Dec 2015 10:47:10

cedricscha
Affranchi(e)
 
Registered: 12 Dec 2015
Posts: 2

Re: [fail2ban] création de règle de filtrage

Bon, pour finir, j'ai modifié mon message d'erreur comme suit :

Code:

WARNING[24889][C-000570f0] Ext. 000441729810030: IP01 185.40.4.191

Et j'ai utilisé comme règle :

Code:

(WARNING|NOTICE|ERROR)\[\d*\]\[(\d*\w*)-(\d*\w*)\] (Ext.|FOO.) (\d*:) IP01 <HOST>$

Cedla fonctionne pour le moment, on verra sur le long terme.....

Last edited by cedricscha (15 Dec 2015 10:47:37)

Offline

 

Board footer

Powered by FluxBB