Я только что получил шквал атак pop3-login на одном из моих серверов. Я был удивлен, что fail2ban их не остановил, затем я понял, что служба прослушивает несколько IP-адресов, и злоумышленник распыляет на них все. Fail2ban заблокировал только мой первый IP.
fail2ban имеет параметр myip = x.y.z.a, но, похоже, он не принимает несколько значений. Есть ли способ настроить это?
Ооо! плохое предположение с моей стороны. Я внимательно посмотрел. fail2ban не блокирует локальный IP-адрес, он правильно блокирует источник. Нет необходимости настраивать несколько IP-адресов.
Проблема, похоже, в том, что они делали десятки попыток в секунду.
2012-07-26 10:41:25,771 fail2ban.actions: WARNING [dovecot-pop3imap] Ban 74.63.241.177
2012-07-26 10:41:27,825 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
2012-07-26 10:41:28,827 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
2012-07-26 10:41:30,829 fail2ban.actions: WARNING [dovecot-pop3imap] 74.63.241.177 already banned
Этого было достаточно, чтобы увеличить количество процессов, прежде чем fail2ban сможет ответить. Объем атаки и распространение по нескольким IP застали меня врасплох.