Estou executando um servidor Ubuntu com Postfix servindo como retransmissão de e-mail. Para evitar ataques de força bruta, instalei o Fail2Ban e o configurei /var/log/mail.log
para banir IPs de acordo. Estou usando o filtro Postfix padrão [FAIL2BAN_FOLDER]/filter.d/postfix.conf
que vem com o Fail2Ban, configurado para o modo de detecção mais estrito para que ele também capture falhas de login SASL.
A regex em postfix.conf
que captura logins com falha do Postfix é a seguinte:
^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server
Ele captura perfeitamente todos os logins com falha no retransmissor de e-mail e o uso fail2ban-client status postfix
me mostrará todos os IPs que foram banidos por força bruta. No entanto, quando verifico iptables --list
, recebo algumas entradas que não proíbem endereços IP, mas sim nomes de domínio. Abaixo alguns exemplos:
target prot opt source destination
REJECT all -- vm5403.hv8.ru anywhere reject-with icmp-port-unreachable
REJECT all -- 179.185.35.150.static.gvt.net.br anywhere reject-with icmp-port-unreachable
Eu não uso iptables
de forma independente, mas apenas através do Fail2Ban. Isso é algo que eu deveria me preocupar? O que posso fazer para corrigi-lo se acontecer de ser um problema?
Eu não acho que isso seja algo que o fail2ban realmente faça, mas suspeito que você esteja confuso ao
iptables --list
procurar os nomes para fins de apresentação.Adicione
-n
ao seuiptables --list
comando para desabilitar isso.Do
iptables
manual (grifo nosso):