[Postfixbuch-users] fail2ban regexp für bind9-log

Uwe Driessen driessen at fblan.de
So Mai 25 16:18:04 CEST 2008


Scholz, Christian schrieb:
 
> Ich hab gerade versucht, per fail2ban verweigerte DNS Anfragen zu blocken.
> Doch leider scheitert es an der regexpl Zeile.
> Im Log sieht ein Eintrag wiefolgt aus
> 
> >>  25-May-2008 15:35:47.854 security: info: client 80.141.82.243#4797: query (cache)
> 'google.de/A/IN' denied

Bei PDNS benutze ich folgende :

failregex = not authoritative for(.*)servfail(.*)<HOST>
            pdns\[.*\]: Not authoritative for '', sending servfail to <HOST>

für bind versuch mal 

failregex = security: info: client <HOST>.*query (cache).*denied


> 
> kann mir da jemand helfen?
> 

Nö wie kommst denn darauf *gg 

Habe allerdings den zugriff auf den DNS nur für meine Netze per iptables  frei geschalten 

#!/bin/bash

DNSA="eige.netz.ein.trag/25 nächstes.Netz/24"

        iptables -I INPUT -j DROP -p tcp -m tcp --dport 53 -i eth+
        iptables -I INPUT -j DROP -p udp -m udp --dport 53 -i eth+

for i in $DNSA
do
        iptables -I INPUT -j ACCEPT -p tcp -m tcp --dport 53 -s $i -i eth+
        iptables -I INPUT -j ACCEPT -p udp -m udp --dport 53 -s $i -i eth+

done 



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users