fail2banについて

[t.yamamo...@gmail.com]

いつもお世話になっております。

自宅と小さい事務所でasterisk使っているものなのですが、

これまでサーバーとしては自宅にしか設置しておらず、

事務所でわざわざサーバーを動かす必要ないな..と思い、

これまで自宅のasteriskにvpnを介して事務所のひかり電話などを

収容して活用してきましたが、ファックスをlineで送るなどいろんなことを

やりだしたので事務所にももう一つサーバーを作るとこにしました。

asterisk自体の設定などは問題なく移行できたのですが、

fail2banの設定がうまくいかなく困っております。

教えていただければ幸いです。

os:centos7

asterisk1.8

fail2ban v0.11.2

firewaldを使っています

systemctl status asterisk で確認するとbanされているipはでてきますが、

実際のファイアウォールには反映されず、fail2ban.logを見ると

2023-06-08 16:04:00,908 fail2ban.actions        [20804]: WARNING [asterisk] 192.168.*.* already banned
2023-06-08 17:04:00,163 fail2ban.actions        [20804]: NOTICE  [asterisk] Unban 192.168.*.*

が繰り返すだけで何のエラーも特にありません。

私の知識不足で簡単な話だと思いますが、わからないです。

毎回、質問ばかりで申し訳ないのですが、

なにとぞよろしくお願いいたします。

山本達也

[まこと]

logに残っていないなら、filterの見直しが必要かもしれないです。

fail2banのネットの記事は昔からあるので、最近のAsteriskのセキュリティーログと違ったので、

正規表現で書き直しました。

私は四苦八苦して、Fail2banを設定しているので、的を得た回答はできません。

最近、Asterisk接続のhost部分、生IPアドレスでのブルートフォース攻撃は以前からあったので、これはbanをしていましたが、

このところ、dnsを参照してなのか、virtuanhostやddnsで割り当てているホストネームでのアクセスが多くなってきました。

httpでは使っていない、自分たちしか使わないddnsのアドレスもどこかでDB化されているようで、なんか気持ちが悪い攻撃が増えています。

[t.yamamo...@gmail.com]

ありがとうございます。

filterの見直しもやってみます。

自宅のサーバーではうまくいっており、osも含めて同じ環境にしているのでそのまま設定をまるっとコピーしてうまくいかないのかと思いましたが、うまく動いてくれませんでした。

fail2banのバージョンが微妙に違うとやはりだめなのですかね..

結構悩んだのですが、悩みたりんってことですかね..

もう少し悩んでみます。

2023年6月9日金曜日 14:26:14 UTC+9 まこと: