我可以在邮件服务器的路由器后面使用fail2ban吗?
我可以在邮件服务器的路由器后面使用fail2ban吗?
提问于 2019-11-18 10:30:29
我在FritzBox路由器后面的家庭网络上运行Docker。邮件和web服务器被篡改,外部端口22、80、443被转发到NAS上的应答端口,Traefik充当反向代理。
虽然traefik可以很好地工作,这要感谢X-Forwarded头和HTTP1.1 Host头,但是我无法设置fail2ban来阻止流氓客户端的过多登录尝试。由于路由器上的NAT,邮件容器似乎总是将路由器的IP作为源。
服务器日志如下所示:
dovecot: auth: passwd-file(luv5@xn--...,172.19.0.1): unknown user (SHA1 of given password: 63f39e)
postfix/smtpd[1118]: warning: unknown[172.19.0.1]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
postfix/smtpd[1118]: disconnect from unknown[172.19.0.1] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
postfix/smtpd[1028]: warning: unknown[172.19.0.1]: SASL LOGIN authentication failed: Connection lost to authentication server
postfix/smtpd[1028]: disconnect from unknown[172.19.0.1] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
postfix/smtpd[1066]: warning: unknown[172.19.0.1]: SASL LOGIN authentication failed: Connection lost to authentication server
postfix/smtpd[1066]: disconnect from unknown[172.19.0.1] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
dovecot: auth: passwd-file(mathew@xn--...,172.19.0.1): unknown user (SHA1 of given password: 011c94)
postfix/smtpd[2295]: warning: unknown[172.19.0.1]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
postfix/smtpd[2295]: disconnect from unknown[172.19.0.1] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
postfix/postscreen[1020]: CONNECT from [172.19.0.1]:36922 to [172.19.0.11]:25
postfix/postscreen[1020]: PASS OLD [172.19.0.1]:36922
postfix/smtpd[1118]: connect from unknown[172.19.0.1]
postfix/postscreen[1020]: CONNECT from [172.19.0.1]:36948 to [172.19.0.11]:25
dovecot: auth: passwd-file(psycho@xn--...,172.19.0.1): unknown user (SHA1 of given password: 7c4a8d)
postfix/postscreen[1020]: CONNECT from [172.19.0.1]:36950 to [172.19.0.11]:25
postfix/smtpd[1118]: warning: unknown[172.19.0.1]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
postfix/smtpd[1118]: disconnect from unknown[172.19.0.1] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
postfix/postscreen[1020]: CONNECT from [172.19.0.1]:36958 to [172.19.0.11]:25
postfix/postscreen[1020]: PASS OLD [172.19.0.1]:36948
postfix/smtpd[2295]: connect from unknown[172.19.0.1]
postfix/postscreen[1020]: PASS OLD [172.19.0.1]:36950
postfix/smtpd[1066]: connect from unknown[172.19.0.1]有什么可以让fail2ban基于IP地址阻止NAT后的SMTP (除了使用“暴露的主机”)吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2019-11-18 20:43:56
由于路由器上的NAT,邮件容器似乎总是将路由器的IP作为源。
如果您能够从日志/日志中捕获到筛选器中的原始IP (或其他标识入侵者的内容),您可以:
- 编写自己的
failregex或筛选器捕获转发的IP、会话或用户名(您可以使用它作为ID识别入侵者),然后. - 或者尝试实现wiki - 如何禁止其他主机(IP地址),如用户或邮件等。中描述的解决方案。
- 或者编写一些类似https://github.com/fail2ban/fail2ban/blob/0.10/config/action.d/nginx-block-map.conf (禁止入侵者重新部署)的操作。拒绝其在web服务器或邮件服务端的连接)
- 或者写你自己的行动通知你的代理服务,以禁止原始IP在另一边(不知道traefik有类似的东西,但仍然有开放的RFE - https://github.com/containous/traefik/issues/4026)。
还请注意类似的问题- 如何用Traefik实现fail2ban
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/58912519
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号