Estimados. debido a un reciente ataque de varias IP desde china a mi servidor postfix he investigado un poco y encontre Fail2ban, según veo es un software interesante que permite bloquear IP que hacen muchos login fallidos y desde diferentes IP
el problema es que no puedo configurar el failregex de este. he intentado con algunos como estos. #failregex = warning: (.*)[<HOST>]: SASL LOGIN authentication failed: authentication failure #failregex = : warning: .*+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed failregex = : warning: [-._\w]+\[<HOST>\]: SASL (?:LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed$ unos me dan error y otros no enuentra coincidencia. las lineas del log que me dan cuenta del error de login son las siguientes Aug 1 01:27:38 nao postfix/smtpd[31212]: connect from unknown[183.160.126.122] Aug 1 01:27:39 nao postfix/smtpd[31212]: warning: unknown[183.160.126.122]: SASL LOGIN authentication failed: authentication failure Aug 1 01:27:40 nao postfix/smtpd[31212]: lost connection after AUTH from unknown[183.160.126.122] Aug 1 01:27:40 nao postfix/smtpd[31212]: disconnect from unknown[183.160.126.122] Aug 1 01:28:24 nao postfix/smtpd[31212]: connect from unknown[60.173.9.227] Aug 1 01:28:25 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]: SASL LOGIN authentication failed: authentication failure Aug 1 01:28:26 nao postfix/smtpd[31212]: lost connection after AUTH from unknown[60.173.9.227] Aug 1 01:28:26 nao postfix/smtpd[31212]: disconnect from unknown[60.173.9.227] Aug 1 01:28:27 nao postfix/smtpd[31212]: connect from unknown[60.173.9.227] Aug 1 01:28:28 nao postfix/smtpd[31212]: warning: unknown[60.173.9.227]: SASL LOGIN authentication failed: authentication failure Aug 1 01:28:29 nao postfix/smtpd[31212]: lost connection after AUTH from unknown[60.173.9.227] Aug 1 01:28:29 nao postfix/smtpd[31212]: disconnect from unknown[60.173.9.227] y realmente he buscado pero no encuentro que poner para que me funcione el fail2ban. espero me puedan ayudar. Saludos.
