Fail2ban - Ports in Jail erweitern & Bantime

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Fail2ban - Ports in Jail erweitern & Bantime

Beitrag von fulltilt » 01.07.2018 09:02:33

habe seit einiger Zeit verstärkt Spam Attacken und hab letzte Woche mal den fail2ban postfix-rbl Filter aktiviert, funktioniert an sich sehr gut ... gestern wurden mit einer Bantime von 48 Stunden etwa 600 IP Adressen blockiert. Einige davon kommen immer wieder, habe auch neben 8 guten RBL auch Spamassassin und 8 IPsets (incl. blocklist etc) im Einsatz, reicht aber alleine nicht mehr aus
- wäre es hier ratsam die Bantime noch höher zu setzen als 48 Stunden, was wäre ein guter Wert?
- kann ich die Ports einfach erweitern mit Nummern z.b. um Roundcube bzw. Apache und Panel Port zusammen mit den smpt, pop3 und imap ports zu blocken?

Code: Alles auswählen

[postfix-rbl]
enabled  = true
port     = smtp,465,submission,imap2,imaps,pop3,pop3s
logpath = /var/log/mail.log
logencoding = utf-8
maxretry = 1
findtime = 1200
bantime = 172800
also quasi so:

Code: Alles auswählen

port     = smtp,465,submission,imap2,imaps,pop3,pop3s,80,443,8443
Debian: Testing
Desktop: KDE Plasma 5

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Fail2ban - Ports in Jail erweiternn & Bantime

Beitrag von novalix » 01.07.2018 19:22:49

fulltilt hat geschrieben: ↑ zum Beitrag ↑
01.07.2018 09:02:33
- kann ich die Ports einfach erweitern mit Nummern z.b. um Roundcube bzw. Apache und Panel Port zusammen mit den smpt, pop3 und imap ports zu blocken?
Jo, sollte problemlos gehen. So wie ich das sehe, werden die Konfigurationswerte dem dports-Argument von iptables übergeben. Da gibt es keine Prüfung auf Einschlägigkeit o.Ä.

Insgesamt ist fail2ban nicht in Hinsicht auf höhere Abstraktionslogik konzipiert.
Für die seperate Behandlung von Wiederholungstätern gibt es aber einen eigenen Filterregelsatz.
Komme allerdings jetzt nicht auf den Namen. Anybody?
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Benutzeravatar
fulltilt
Beiträge: 1155
Registriert: 03.12.2006 20:10:57

Re: Fail2ban - Ports in Jail erweitern & Bantime

Beitrag von fulltilt » 01.07.2018 22:03:57

danke!
das ist schon heftig pro MX 600 sperrungen pro Tag und deswegen würde ich die lieber auch auf anderen Ports sperren .... meine Güte ;-)
:THX:
Debian: Testing
Desktop: KDE Plasma 5

Antworten