# IP-Adresse nicht geblockt trotz fail2ban



## Doc.B (4. Juli 2011)

Morgen zusammen,

Ich hab auf einem Server fail2ban eingerichtet:


> 2011-06-30 22:35:09,403 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.4
> 2011-06-30 22:35:09,403 fail2ban.jail   : INFO   Creating new jail 'dovecot-pop3imap'
> 2011-06-30 22:35:09,404 fail2ban.jail   : INFO   Jail 'dovecot-pop3imap' uses poller
> 2011-06-30 22:35:09,415 fail2ban.filter : INFO   Set maxRetry = 2
> ...


Nun stelle ich trotzdem reichlich 'Einbruchsversuche' fest:


> Jul  4 07:42:14 server postfix/smtpd[7929]: warning:  140-55-31-64.servebyte.net[64.31.55.140]: SASL LOGIN authentication  failed: UGFzc3dvcmQ6
> Jul  4 07:42:14 server postfix/smtpd[7932]: warning:  140-55-31-64.servebyte.net[64.31.55.140]: SASL LOGIN authentication  failed: UGFzc3dvcmQ6


Wie kann ich feststellen, warum diese IP nicht geblockt wird?

Danke!


----------



## Till (4. Juli 2011)

Laut dem obigen Log ist fail2ban konfiguriert um pop3 und imap logins zu überwachen, der untere logauszuh bezieht sich aber auf postfix sasl und nicht pop3 / imap. Ich vermute also mal dass der fail2ban auf Deinem Server postfix sasl garnicht überwacht.


----------



## Herr Bert (5. Juli 2011)

Das sollte dir eventuell helfen.

In deiner jail.local erstellst du den folgenden Eintrag:

[sasl]
enabled  = true
port     = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
logpath  = /var/log/mail.log
maxretry = 1
bantime  = 86400
# 1 month = 2419200; week = 604800; 4days=345600; 2days=172800; day = 86400

und in /etc/fail2ban/filter.d/ eine neue Datei mit dem Namen: sasl.conf, mit dem folgenden Inhalt:

# Fail2Ban configuration file
#
# Author: Yaroslav Halchenko
#
# $Revision: 728 $
#

[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = (?i): warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed [A-Za-z0-9+/]*={0,2})?$

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =


Damit sollte fail2ban die IP dann blocken können ;-)


----------



## Doc.B (10. Juli 2011)

Hi,

danke für den Hinweis. Die Datei /etc/fail2ban/filter.d/sasl.conf gibt es bereits, und wenn ich den vorgeschlagenen Eintrag in der jail.conf erstelle startet fail2ban nicht mehr:
Jul 10 14:47:03 server startproc: startproc:  exit status of parent of /usr/bin/fail2ban-client: 255

Stattdessen hab ich den Eintrag


> [sasl-iptables]
> 
> enabled  = true
> filter   = sasl
> ...


aktiviert. Damit startet fail2ban, obs hilft muss ich abwarten....


----------

