为命名创建 Fail2ban 规则

您基本上没有提供问题所在，而且既没有包含要在过滤器中捕获的消息的日志摘录，也没有尝试fail2ban-regex -v使用过滤器找到什么。

我猜消息看起来像：

Jan 26 14:00:10 srv named[26403]: client 192.0.2.100#21324 (example.com): rate limit drop all response to 192.0.2.0/24

然后这里有两件事需要注意——首先，IP 在客户端之后（这里192.0.2.100），最后它有一个子网（IP/CIDR 表示法，这里192.0.2.0/24）。

如果您想禁止子网（如果您的 fail2ban 和选择的禁令完全能够禁止子网），您可以根据您的版本使用：

要么这个（如果你的fail2ban支持<SUBNET>）：

failregex = ^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to <SUBNET>

或这个：

failregex = ^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to (?:<F-IP4>\d+\.\S+</F-IP4>|<F-IP6>\w+\:\S+</F-IP6>)

您也可以禁止 IP 而不是子网，然后使用以下任一：

failregex = ^\s*\S+\s+named(?:\[\d+\])?: client <ADDR>[^:]*: rate limit drop all response

您也可以使用 进行检查fail2ban-regex，例如：

msg='Jan 26 14:00:10 srv named[26403]: client 192.0.2.100#21324 (example.com): rate limit drop all response to 192.0.2.0/24'
fail2ban-regex "$msg" '^\s*\S+\s+named(?:\[\d+\])?: [^:]+: rate limit drop all response to <SUBNET>'
...
Lines: 1 lines, 0 ignored, 1 matched, 0 missed

或使用日志文件测试过滤器：

fail2ban-regex /var/log/named/rate.log named-antispam

至于你的prefregex和failregex- 他们只是不正确。prefreregex 和 failregex 都不能包含时间戳匹配的部分datepattern（请阅读我们的wiki或手册中的操作指南，它包含： 注意：failregex将在处理后应用于消息的剩余部分prefregex（如果指定），这反过来会发生处理后datepattern（从消息中删除与最佳模式匹配的时间戳字符串）。

同样prefregex有意义的是，如果您需要一些预过滤，例如您有多个失败正则表达式（并且这样的正则表达式将应用于行的整个部分，或者如果指定的话，将应用于包含在<F-CONTENT>and之间的部分匹配的 RE。如果没有预过滤</F-CONTENT>预期，prefregex没有什么意义。

无论如何，如果您出于某种原因需要它，它将如下所示：

prefregex = ^\s*\S+\s+named(?:\[\d+\])?: <F-CONTENT>.+</F-CONTENT>$ 

failregex = ^[^:]+: rate limit drop all response to <SUBNET>
#failregex = ^[^:]+: rate limit drop all response to (?:<F-IP4>\d+\.\S+</F-IP4>|<F-IP6>\w+\:\S+</F-IP6>)
#failregex = ^client <ADDR>[^:]*: rate limit drop all response