[Postfixbuch-users] fail2ban

Uwe Driessen driessen at fblan.de
Mo Okt 29 10:04:45 CET 2007


Ralf Hildebrandt schrieb:
> * Uwe Driessen <driessen at fblan.de>:
> > warum?
> > fail2ban soll ja nur vorübergehend sperren und da reicht es 
> schon wenn die einzelne IP
> > gesperrt wird das bringt schon ganz schön ruhe rein.
> > 
> > was ich festgestellt habe ist das die meisten IP's eh nur 
> einmal kommen. ich habe auch
> > eine neue Auswertung für die Dynip auf dem Server liegen
> 
> Deswegen will er ja das ganze Subnetz sperren, getreu nach der Maxime
> "Wo das ist, kommt noch mehr her".

aber in der Regel nicht am gleichen Tag ober innerhalb einer Stunde, nach meiner
Beobachtung dann eher Tage später.
ich hab hier die logfiles seit dem 30.09 archiviert. selbst innerhalb von class C netzen
kommen die zwar immer mal wieder aber eben nicht die menge das es sich rentieren würde das
ganze Netz zu sperren.
Sitzt zufällig ein Kunde von dir in dem Netz dann ist ihm auch sofort der Zugang verwehrt.
unauffällige IP zu sperren ist in einem solchen Fall eher contraproduktiv.
Arcor, 1u1,Telekomnetze können von dem Tool ja erstmal nicht unterschieden werden und da
kommen auch eine Menge her.  

Die Spamer nutzen die IP's recht intelligent innerhalb den Botnetzen und wenn es ein
einzelner Server ist dann kommt er erst irgendwann wieder von einer ganz anderen IP oder
auch über Anomysierer  

Fail2ban ist eigentlich nur dazu da überlast mit immer wieder den gleichen falschen
Anfragen zu vermeiden bringt temp. Ruhe aber sollte nicht für dauerhafte Sperrungen
eingesetzt werden (dafür ist es das falsche Werkzeug) 

> 
> > > gibt es die Möglichkeit, bei fail2ban anstatt nur die IP z.b. 
> > > 125.211.121.22 das ganze Subetz zu sperren - also 125.211.121/24 ?
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397
 




Mehr Informationen über die Mailingliste Postfixbuch-users