• 21-05-2024, 12:24:04
    #1
    Merhabalar,

    Fail2Ban çalışma mantığı 1.2.3.10 ip adresinden ssh'a gelen 5 tane başarısız girişi tespit edip engellemek fakat 1.2.3.11'i yeni bir ip adresi olarak alıyor bu da bana mantıksız geliyor saldırılar eğer kapsamlı değil ise belirli bir IP bloğu üzerinden oluyor bu yüzden baştaki 3 hane'yi alması lazım bunu bir kural olarak mı tanımlamamız lazım yani eğer sondaki hanesi farketmeksizin 1.2.3.x bloğundan gelen 5 ve üzeri yanlış login denemesin de 1.2.3.x bloğunu komple engellesin şeklinde bir çalışma mantığını nasıl yapabilirim?
  • 21-05-2024, 12:28:49
    #2
    ChatGPT aşağıdaki gibi bir regex yazdı doğru gibi birazdan deneyeceğim;


    [Definition]
    failregex = ^%(__prefix_line)ss+authentication failure; logname=S* uid=S* euid=S* tty=S* ruser=S* rhost=(d{1,3}.d{1,3}.d{1,3}).d{1,3}s*$