[Postfixbuch-users] Meinungen zur Kombi fail2ban und Postfix

Uwe Drießen driessen at fblan.de
Di Aug 12 14:54:47 CEST 2014 

> -----Ursprüngliche Nachricht-----
> Von: Postfixbuch-users [mailto:postfixbuch-users-
> bounces at listen.jpberlin.de] Im Auftrag von Bjoern Meier
> Gesendet: Dienstag, 12. August 2014 11:05
> An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
> Betreff: Re: [Postfixbuch-users] Meinungen zur Kombi fail2ban und Postfix
> 
> Hi,
> 
> 
> Am 12. August 2014 10:56 schrieb Uwe Drießen <driessen at fblan.de>:
> > Es kann durchaus schon mal einige 100 IP's innerhalb der 30 min in die
> > Regeln laufen
> >
> > Mit Ipset nur eine Regel !
> 
> Dann habe ich das missverstanden. Ich habe das so verstanden, dass man
> eine Chain in mit iptables in Netfilter anlegt und diese Chain
> gefüttert wird. Scheint mir auch logisch. Wie kann man mit einer
> einzigen Regel mehrere IPs filtern?
> 

IPSET 

Ipset.conf in den actions.d

------------------------------
[Definition]

actionstart = /sbin/ipset -N  fail2ban-<name> iphash  timeout <bantime>
             iptables -A INPUT -i eth+ -p <protocol> -m multiport --dports
<port> -j DROP -m set --match-set fail2ban-<name> src


actionstop = iptables -D INPUT -i eth+  -p <protocol> -m multiport --dports
<port> -j DROP -m set --match-set fail2ban-<name> src
             /sbin/ipset flush fail2ban-<name>
                         /sbin/ipset destroy fail2ban-<name>

actioncheck =

actionban =  ipset test fail2ban-<name> <ip> ||  ipset add fail2ban-<name>
<ip> timeout <bantime>

#da die bantime in ipset definiert ist wird kein unban benötigt 
actionunban = ipset test fail2ban-<name> <ip>

[Init]

name = default

port = ssh

protocol = tcp

--------------------------------------------------

In der jail.conf 

banaction = ipset
action   = ipset[name="filtername", port="smtp,ssmtp,submission",
protocol=tcp, bantime=86400]

nach dem = bitte mit deinen Werten füllen 

und dann halt die Filter dazu in filter.d schreiben



Mit freundlichen Grüßen

Uwe Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045

Mehr Informationen über die Mailingliste Postfixbuch-users