# fail2ban Fehler



## nowayback (10. Okt. 2012)

Moinsen,

irgendwie seh ich gerade den Wald vor Bäumen nicht mehr...

Ich hab folgenden Fehler:


> fail2ban.filter : ERROR Unable to compile regular expression '(?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?PS*),.*'


Meine dovecot-pop3imap.conf sieht so aus:

```
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*
ignoreregex =
```
So steht es auch in allen Tutorials drin...

Hat jemand ne Idee?

Grüße
nwb


----------



## Till (11. Okt. 2012)

Welche Linux Distribution verwendest Du und welche fail2ban version?


----------



## nowayback (11. Okt. 2012)

Hallo Till,

ich hab Debian Squeeze am Laufen 6.0.6 mit fail2ban_0.8.4-3+squeeze1 aus den Debian Repos.

Grüße
nwb


----------



## nowayback (12. Okt. 2012)

Moinsen,

einige Tests später, muss ich leider mitteilen, dass ich es noch immer nicht auf die Reihe bekommen hab diesen Filter zum laufen zu bringen... selbst fail2ban 0.8.6-3~bpo60+1 aus den debian squeeze backports erzeugt den gleichen fehler...

Hat noch jemand eine Idee?

Achja, bei Regex steh ich immer bissl im Wald... dass bei "failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth failed|Aborted login (tried to use disabled|Disconnected (auth failed|Aborted login (d+ authentication attempts).*rip=(?P<host>S*),.*" nicht alle klammern geschlossen werden ist korrekt? Schließlich stehts so in den Tutorials.



Nachtrag:
mit der Default Regel von fail2ban funktionierts (/etc/fail2ban/filter.d/dovecot.conf):

```
# Fail2Ban configuration file for dovcot
#
# Author: Martin Waschbuesch
#
# $Revision$
#

[Definition]

# Option:  failregex
# Notes.:  regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values:  TEXT
#
failregex = .*(?:pop3-login|imap-login):.*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =
```

Grüße
nwb


----------



## Till (13. Okt. 2012)

Ich hab gestern ein perect setup debian 6 mit dovecot installiert, copy & paste der fail2ban regeln aus dem tutorial und es funktioniert bei mir fehlerfrei. Ich hab nach eem englischen tutorial auf howtoforge.com installiert.


----------



## nowayback (13. Okt. 2012)

Ich hatte HowtoForge Linux Tutorials » Der Perfekte Server - Debian Squeeze (Debian 6.0) mit BIND & Dovecot [ISPConfig 3] genommen... aber die fail2ban Regel steht in allen deutschen Tutorials so drin, wie ich sie im ersten Post eingefügt hatte... und für sowas nehm ich dann auch immer copy & paste.. Naja nun geb ich mich mit der Vorlage zufrieden, denn die scheint auch das zu machen was ich will 

Wollte nur die Lösung nicht vorenthalten falls noch jemand auf diesen kuriosen Fehler trifft.

Grüße
nwb


----------



## Brainfood (16. Okt. 2012)

Habe es wie folgt (Debian6 - Sparc64):

/ etc / fail2ban / jail.local


```
[dovecot-pop3imap]

enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
bantime  = 31536000
maxretry = 10
```
/etc / fail2ban / filter.d / dovecot-pop3imap.conf


```
[Definition]
failregex = (?: pop3-login|imap-login): .*(?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed|Aborted login \(\d+ authentication attempts).*rip=(?P<host>\S*),.*
ignoreregex =
```


----------



## Balu (8. Dez. 2012)

Servus

Das Problem liegt bei dem Deutschen Howto die bei dem englishen funktionieren.
MFG


----------



## nowayback (8. Dez. 2012)

Hi,

ist ja kein Problem... meine Lösung, die ich oben gepostet habe, funktioniert ja auch problemlos und ist per default verfügbar. Somit muss man ja nur diese aktivieren, anstatt ne neue zu schreiben 




Hier nochmal als Info:


> # Fail2Ban configuration file for dovcot
> #
> # Author: Martin Waschbuesch
> #
> ...



Trotzdem danke für den Hinweis.

Grüße
nwb


----------



## beyerservice (6. Mai 2013)

wollte nur sagen, bei Debian wheezy und Fail2ban v0.8.6  muss auch die Zeile mit .*(? genommen werden. Die andere funktioniert nicht:

```
fail2ban.filter : ERROR  Unable to compile regular expression '(?:  pop3-login|imap-login): .*(?:Authentication failure|Aborted login (auth  failed|Aborted login (tried to use disabled|Disconnected (auth  failed|Aborted login (d+ authentication attempts).*rip=(?P
```


----------

