这是一个创建于 1511 天前的主题,其中的信息可能已经有所发展或是发生改变。
用 fail2ban 阻止针对 dns 服务器的攻击,已知攻击日志如下
202.9.120.7#13620 (aaa.com): view g-1: rate limit drop SERVFAIL error response to 202.9.120.7/32
现需要用 fail2ban 自动拉黑此 ip,网上找的正则表达式是
failregex = <HOST>#\S+( \([\S.]+\))?\: rate limit drop
但与此日志不匹配,似乎是缺少 view 部分,请问如何修改此正则表达式使其匹配上述日志?谢谢
202.9.120.7#13620 (aaa.com): view g-1: rate limit drop SERVFAIL error response to 202.9.120.7/32
现需要用 fail2ban 自动拉黑此 ip,网上找的正则表达式是
failregex = <HOST>#\S+( \([\S.]+\))?\: rate limit drop
但与此日志不匹配,似乎是缺少 view 部分,请问如何修改此正则表达式使其匹配上述日志?谢谢
 |
1
yylzcom 2020-02-29 15:23:58 +08:00  2
|
 |
2
consolejojo 2020-02-29 15:26:42 +08:00 via iPhone 1
用 fail2ban-regex 命令检查正则是否匹配。从简单的全部匹配尝试,慢慢接近需求,试试转义符号。
|
 |
4
Telegram 2020-02-29 15:47:32 +08:00 via iPhone
哈哈,无脑+1
|
 |
5
xjn17858906105 2020-02-29 20:51:50 +08:00
众所周知 .*无所不能
|
Select Language