Hallo zusammen,
ich habe bei meinem Server ein Problem mit fail2ban. Aus irgendwelchen Gründen werden nicht alle IPs gesperrt.
Fail2ban blockiert zum Teil ein paar IPs, aber andere werden nicht gesperrt.
Logfile von fail2ban:
2015-04-27 15:08:19,220 fail2ban.actions: WARNING [sasl] Ban IP2
................
2015-04-27 16:54:01,689 fail2ban.actions: WARNING [courierimap] Ban IP3
2015-04-27 17:29:46,011 fail2ban.actions: WARNING [courierimap] Ban IP4
2015-04-27 17:31:23,263 fail2ban.actions: WARNING [courierimap] Ban IP5
2015-04-27 18:09:15,182 fail2ban.actions: WARNING [courierpop3] Ban IP6
2015-04-27 19:13:12,135 fail2ban.actions: WARNING [courierimap] Ban IP7
Auszug aus der Mail-Logfile:
Apr 27 14:46:57 web postfix/smtpd[4984]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 14:55:19 web postfix/smtpd[5344]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:03:30 web postfix/smtpd[5600]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: hostname domain2.ru does not resolve to address IP2: Name or service not known
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:18 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:11:57 web postfix/smtpd[5842]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:20:18 web postfix/smtpd[6095]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:28:41 web postfix/smtpd[6299]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Meiner Meinung nach müsste fail2ban mit den selben Einstellungen die IP1 auch sperren, leider wird nur die IP2 gesperrt.
Gibt es dort Unterschiede?
Wo ist mein Fehler?
ich habe bei meinem Server ein Problem mit fail2ban. Aus irgendwelchen Gründen werden nicht alle IPs gesperrt.
Fail2ban blockiert zum Teil ein paar IPs, aber andere werden nicht gesperrt.
Logfile von fail2ban:
2015-04-27 15:08:19,220 fail2ban.actions: WARNING [sasl] Ban IP2
................
2015-04-27 16:54:01,689 fail2ban.actions: WARNING [courierimap] Ban IP3
2015-04-27 17:29:46,011 fail2ban.actions: WARNING [courierimap] Ban IP4
2015-04-27 17:31:23,263 fail2ban.actions: WARNING [courierimap] Ban IP5
2015-04-27 18:09:15,182 fail2ban.actions: WARNING [courierpop3] Ban IP6
2015-04-27 19:13:12,135 fail2ban.actions: WARNING [courierimap] Ban IP7
Auszug aus der Mail-Logfile:
Apr 27 14:46:57 web postfix/smtpd[4984]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 14:55:19 web postfix/smtpd[5344]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:03:30 web postfix/smtpd[5600]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: hostname domain2.ru does not resolve to address IP2: Name or service not known
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:17 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:08:18 web postfix/smtpd[5721]: warning: unknown[ IP2 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:11:57 web postfix/smtpd[5842]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:20:18 web postfix/smtpd[6095]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Apr 27 15:28:41 web postfix/smtpd[6299]: warning: domain1 [ ip1 ]: SASL LOGIN authentication failed: authentication failure
Meiner Meinung nach müsste fail2ban mit den selben Einstellungen die IP1 auch sperren, leider wird nur die IP2 gesperrt.
Gibt es dort Unterschiede?
Wo ist mein Fehler?