热门标签
热门文章
- 1【Node.js 常用命令(第四篇)】揭秘Node.js:掌握这些常用命令,让你在开发路上风生水起!
- 2【python学习】深入解析 `jq` 库:JSON 处理的利器
- 3SpringBoot整合Quartz定时任务_springboot集成org.quartz-scheduler
- 4数字 IC 设计职位经典笔/面试题(一)_数字ic设计 社招面试题
- 5kafka架构四之数据文件_kafka数据文件目录
- 6阿里「轨迹可控版Sora」,告别「抽卡」,让视频生成更符合物理规律 | 最新快讯
- 7数据分析之王SAS,如何看生成式AI的前景?_大模型代码生成前景
- 8IIS安全指南:解决HTTP访问正常而HTTPS失败的解决方案
- 9RabbitMQ 基础学习二:win10安装_window10geng'x
- 10Kafka学习笔记:Java操作Kafka_kakfa host.name listeners
当前位置: article > 正文
通过fail2ban服务监控frps日志实现禁止非法IP_fail2ban查看
作者:神奇cpp | 2024-08-17 04:11:43
赞
踩
fail2ban查看
前言
服务器使用了frp作为了内网穿透软件,查看frps的日志,发现总有一些国外的ip在扫描这台服务器的端口信息,日志如下图,所以想通过fail2ban服务能够直接禁用这些ip扫描服务器。
1、安装fail2ban服务
yum install -y fail2ban
- 1
2、设置查找frps的规则
[root@lianhe ~]# cat /etc/fail2ban/filter.d/frps.conf
[Definition]
failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
^.*get a new work connection: \[<HOST>:[0-9]*\]
ignoreregex =
- 1
- 2
- 3
- 4
- 5
- 6
- 7
3、设置发现frps的异常ip的操作
# 进入fail2ban目录,copy一份配置文件
[root@lianhe fail2ban]# cp jail.conf jail.local
# 在 jail.local 下添加一下规则
[frp]
enabled = true
findtime = 600
maxretry = 5
bantime = -1
filter = frps
logpath = /var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
protocol = all
chain = all
port = all
action = iptables-allports[name=frp,protocol=tcp]
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
配置说明
frp:监控目标名称
port:封禁全部端口
filter:过滤规则,我们使用自定义的frps
action:捕捉到恶意IP后执行的操作,本文使用iptables对IP封禁所有端口
logpath:需要监控的日志文件
bantime:封禁时间,单位为秒
findtime:查找时间段,单位为秒
maxretry:允许的最大失败次数,这里我们配置10分钟内触发10次规则,那么就封禁掉
4、永久禁用ip地址
4.1 编辑文件:/etc/fail2ban/jail.local
在此文件中查找banaction条目。以下屏幕截图显示禁止是iptables-multiport。
4.2 编辑 banaction文件: /etc/fail2ban/action.d/iptables-multiport.conf
# 在 actionstart 默认条目下,添加以下行:
cat /etc/fail2ban/ip.banned | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done
# 在 actionban 默认条目下,添加以下行:
echo '<ip>' >> /etc/fail2ban/ip.banned
- 1
- 2
- 3
- 4
- 5
5、fail2ban服务重新加载
fail2ban-client reload
- 1
6、查看frp服务器禁用那些ip
[root@lianhe ~]# fail2ban-client status frp
Status for the jail: frp
|- Filter
| |- Currently failed: 21
| |- Total failed: 224
| `- File list: /var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
`- Actions
|- Currently banned: 32
|- Total banned: 32
`- Banned IP list: 118.113.244.254 87.120.84.35 172.104.238.212 162.215.216.231 107.173.211.107 61.140.220.92 218.19.45.23 219.152.231.118 168.76.123.59 45.183.247.34 103.164.216.221 162.241.69.208 185.137.122.180 162.62.218.43 124.152.99.57 45.88.90.55 103.154.184.109 87.107.190.12 87.107.190.59 94.156.8.86 119.28.118.4 59.13.123.99 101.126.69.60 124.156.204.21 68.66.251.162 58.210.241.5 103.78.12.14 35.200.157.232 43.153.176.71 91.92.245.192 171.106.204.37 108.179.217.143
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
7、通过iptables查看禁用ip
8、如果有误判的ip地址,解决方法
fail2ban-client set frps unbanip [ip地址]
- 1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/神奇cpp/article/detail/991141?site
推荐阅读
相关标签
