Hola Julher. Me funcionó perfecto, muchas gracias por tu ayuda !!! Había que ir a lo más sencillo.... vergüenza me da :P Muchas gracias nuevamente.
Saludos. Diego. El mar., 2 oct. 2018 a las 10:28, <jul...@escomposlinux.org> escribió: > > El lun, 01-10-2018 a las 22:12 -0300, Diego H. Cancelo escribió: > > Buenas... > > Estoy renegando con fail2ban y las expresiones regulares (no son mi > > fuerte), a ver si alguien me puede tirar una mano. > > Estuve mirando varias paginas y los filtros ya creados en el servicio > > para tomarlos como referencia pero no doy en la tecla. > > Tengo varios logs como estos que genero mediante IPTABLES: > > > > Sep 27 17:50:03 vps371545 kernel: [157374.491843] Flood detectado: > > IN=eth0 OUT= MAC=00:16:3e:fb:99:f2:00:0c:db:4b:fd:00:08:00 > > SRC=139.99.118.123 DST=69.61.93.33 LEN=48 TOS=0x00 PREC=0x00 TTL=119 > > ID=15669 DF PROTO=TCP SPT=45161 DPT=80 WINDOW=8192 RES=0x00 SYN > > URGP=0 > > > > En jail.conf tengo: > > > > [flooddetectado] > > enabled = true > > port = all > > filter = flooddetectado > > logpath = /var/log/messages > > maxretry = 10 > > action = iptables-allports[name=flooddetectado, > > port="22,25,80,443", > > protocol=tcp] > > > > y en los filtros, dentro de flooddetectado.conf : > > > > [Definition] > > failregex = ^Flood\ detectado:\ IN=*\ OUT\=\ MAC=*\ SRC=<HOST>$ > > Intenta con algo más simple, por ejemplo: > > failregex = Flood detectado: .* SRC=<HOST> .*$ > > Un saludo > > JulHer > >
