regex - Fail2ban 正则表达式工作但不禁止。改为 DNS 警告

问题描述

所以，我已经阅读了几天的问题，似乎没有在任何地方找到解决方案。我正在 Web 服务器实验室进行一些测试，我已经设置了两个 VM（Ubuntu 20.04）服务器和客户端。在服务器上，我配置了一个 PHP 登录应用程序，只要有人登录失败，就可以给我这个日志。

root@local:/var/log/apache2# tail -f error.log
[Fri Jun 18 10:13:37.657446 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
[Fri Jun 18 10:13:41.434454 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php
[Fri Jun 18 10:13:46.236750 2021] [php7:notice] [pid 2465] [client 192.168.1.11:44750] [error] failed login, referer: http://192.168.1.10/index.php

并且 Fail2Ban v0.11.1 配置为捕获它。/etc/fail2ban/jail.local：

[login-ban]
enabled   = true
port      = http,https
filter    = login-ban
logpath  = /var/log/apache2/error.log
maxretry = 3
findtime  = 180
bantime = 60

/etc/fail2ban/filter.d/login-ban.conf：

[Definition]
failregex =  ^\[.*\]\s\[.*]\s\[.*].*\[client.*<HOST>\].*\[error\].*
ignoreregex =

现在，如果我使用 fail2ban-regex 检查，正则表达式可以完美运行：

fail2ban-regex /var/log/apache2/error.log /etc/fail2ban/filter.d/login-ban.conf --print-all-matched

我明白了

|- Matched line(s):
|  [Fri Jun 18 10:36:07.312503 2021] [php7:notice] [pid 780] [client 192.168.1.11:44754] [error] failed login, referer: http://192.168.1.10/index.php
|  [Fri Jun 18 10:36:14.417955 2021] [php7:notice] [pid 784] [client 192.168.1.11:44756] [error] failed login, referer: http://192.168.1.10/index.php

但是fail2ban没有禁止IP，fail2ban.log给我一个DNS警告：

2021-06-18 10:50:22,083 fail2ban.ipdns          [2154]: WARNING Determined IP using DNS Lookup: 8 = {'0.0.0.8'}
2021-06-18 10:50:22,085 fail2ban.filter         [2154]: INFO    [login-ban] Found 0.0.0.8 - 2021-06-18 10:50:22

我已经尝试将 usedns 参数设置为“no”和“raw”，唯一完成的是摆脱 dns 警告日志，仍然没有禁止并且没有记录尝试登录的主机。

我希望这是足够的信息，并且这将帮助像我一样的人。

标签： regexloggingfail2ban