2 votes

nitheeshp avatar

Fail2ban et X-Forwarded

Demandé el 1 de Mai, 2014
Quand la question a-t-elle été
1626 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je configure fail2ban sur mes serveurs web. Mes serveurs sont derrière ELB. J'ai donc configuré X-forwarded pour obtenir les IP réelles dans les journaux d'accès d'Apache. Mais malheureusement, fail2ban n'est pas en mesure de scanner les journaux d'accès lorsque x-forwarded est activé dans les journaux d'accès.

failregex = ^<HOST> -.*\"(GET|POST).*

Et voici le format de mon journal lorsque le transfert de données est activé.

10.0.2.18 (42.104.63.31) - - [01/May/2014:16:05:39 +0000] "GET / HTTP/1.1" 304 - "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_2) AppleWebKit/537.75.14 (KHTML, like Gecko) Version/7.0.3 Safari/537.75.14"
Demandé el 1 de Mai, 2014 par nitheeshp

Réponses

Trop de publicités?

2voto

user9517 avatar
user9517 Points 113163

Une partie de votre problème est que vous sortez le mauvais <HOST> . Votre ^<HOST> correspondra à un <HOST> lorsqu'il se trouve au début de la chaîne, par exemple 10.0.2.18, alors que je pense que ce que vous voulez vraiment est 42.104.63.31. Vous pouvez résoudre ce problème en demandant à fail2ban de rechercher <HOST> à l'intérieur de () par exemple

failregex=\(<HOST>\) -.*(GET|POST)

qui semble fonctionner lorsqu'il est exécuté par fail2ban-regex avec votre extrait de journal.

fail2ban-regex logsnippet '\(<HOST>\) -.*(GET|POST)'

Running tests
=============

Use   failregex line : \(<HOST>\) -.*(GET|POST)
Use         log file : logsnippet

Results
=======

Failregex: 1 total
|-  #) [# of hits] regular expression
|   1) [1] \(<HOST>\) -.*(GET|POST)
|      42.104.63.31  Thu May 01 16:05:39 2014
`-
Répondu el 1 de Mai, 2014 par user9517 (113163 Points )

0voto

nitheeshp avatar
nitheeshp Points 11

Maintenant, il est capable de lire les IP des clients, mais obtenir cet avertissement encore et encore. <28>fail2ban.filter : WARNING Incapable de trouver une adresse IP correspondante pour -

Répondu el 2 de Mai, 2014 par nitheeshp (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X