我正在运行一个使用 Postfix 作为邮件中继的 Ubuntu 服务器。为了防止暴力攻击,我安装了 Fail2Ban 并将其配置为/var/log/mail.log
相应地禁止 IP。我正在使用[FAIL2BAN_FOLDER]/filter.d/postfix.conf
Fail2Ban 附带的默认 Postfix 过滤器,配置为最严格的检测模式,以便它也捕获 SASL 登录失败。
捕获失败的 Postfix 登录的正则表达式postfix.conf
如下:
^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server
它完美地捕获了所有失败的邮件中继登录,并使用fail2ban-client status postfix
将显示所有因暴力破解而被禁止的 IP。但是,当我检查时iptables --list
,我得到一些不禁止 IP 地址的条目,而是域名。下面是一些例子:
target prot opt source destination
REJECT all -- vm5403.hv8.ru anywhere reject-with icmp-port-unreachable
REJECT all -- 179.185.35.150.static.gvt.net.br anywhere reject-with icmp-port-unreachable
我不iptables
独立使用,只通过Fail2Ban。这是我应该关心的事情吗?如果它碰巧是一个问题,我能做些什么来纠正它?
我不认为这是 fail2ban 实际所做的事情,而是我怀疑您会因为
iptables --list
出于演示目的而查找名称而感到困惑。添加
-n
到您的iptables --list
命令以禁用此功能。从
iptables
手册(强调添加):