frp与fail2ban结合禁用ip

最新推荐文章于 2024-06-13 10:39:21 发布
最新推荐文章于 2024-06-13 10:39:21 发布
阅读量1k 收藏 3
点赞数
分类专栏: 计算机 文章标签: tcp/ip linux 网络协议 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45197445/article/details/129355741
版权

目录

1 安装fail2ban

# CentOS
yum install -y fail2ban
# ubuntu使用apt的系统
sudo apt-get install -y fail2ban

设置开机启动,并启动fail2ban

systemctl enable fail2ban
systemctl start fail2ban
1.1 fail2ban配置文件

fail2ban的配置文件位于 /etc/fail2ban 目录内,有以下重要配置文件(夹),分别对应三个核心概念:

  • jail.conf:对应核心概念“jail”(牢笼/监狱),一个jail由action和filter组成,代表监控目标。jail.conf配置软件监控目标及发现恶意IP后的操作;
  • action.d:对应核心概念action(动作),表示发现恶意IP后采取的操作。action.d目录中预定义了许多常用操作,例如调用iptables/firewalld封禁、sendmail发送通知邮件;
  • filter.d: 对应核心概念filter(过滤规则),过滤规则是用来匹配恶意行为的规则文件/正则表达式。filter.d目录内预定于了许多软件监控规则,例如SSH、Nginx、Apache。

2 定义frp过滤规则

过滤规则配置文件位于在 /etc/fail2ban/filter.d 目录下,我们新建 frps.conf 文件

vim /etc/fail2ban/filter.d/frps.conf

写入如下内容:

[Definition]

failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
            ^.*get a new work connection: \[<HOST>:[0-9]*\]
ignoreregex =

配置文件总共三行,分表表示过滤规则的定义、恶意请求的正则表达式、以及应该忽略的正则。failregex中的<HOST>代表主机IP

3 配置fail2ban监控目标

系统内置的监控目标在 /etc/fail2ban/jail.conf 文件中,官方建议自定义的监控目标放在 /etc/fail2ban/jail.local 或者在 /etc/fail2ban/jail.d 目录中新建配置文件。本文将监控目标定义在 /etc/fail2ban/jail.local 文件里,写入下面内容:

[frp]
enabled = true
findtime = 600
maxretry = 10
bantime = 7200
filter = frps
logpath = /data/frp/log/frps.log
protocol = all
chain = all
port = all
action = iptables-allports[name=frp,protocol=tcp]

注: logpath需要根据实际的frps日志文件定义

配置说明

  • frp:监控目标名称
  • port:封禁全部端口
  • filter:过滤规则,我们使用自定义的frps
  • action:捕捉到恶意IP后执行的操作,本文使用iptables对IP封禁所有端口
  • logpath:需要监控的日志文件
  • bantime:封禁时间,单位为秒
  • findtime:查找时间段,单位为秒
  • maxretry:允许的最大失败次数,这里我们配置10分钟内触发10次规则,那么就封禁掉

修改配置文件后:

  • 重载服务:fail2ban-client reload
  • 查看服务状态:fail2ban-client status frp

4 测试正则规则是否起作用

# 语法:fail2ban-regex 日志文件 规则文件
fail2ban-regex /frps.log /etc/fail2ban/filter.d/frps.conf

输出内容如下

Running tests
=============

Use   failregex filter file : frps, basedir: /etc/fail2ban
Use         log file : /frps.log
Use         encoding : UTF-8


Results
=======

Failregex: 2419 total
|-  #) [# of hits] regular expression
|   1) [2419] ^.*get a user connection \[<HOST>:[0-9]*\]
`-

Ignoreregex: 0 total

Date template hits:
|- [# of hits] date format
|  [2444] {^LN-BEG}ExYear(?P<_sep>[-/.])Month(?P=_sep)Day(?:T|  ?)24hour:Minute:Second(?:[.,]Microseconds)?(?:\s*Zone offset)?
`-

Lines: 2444 lines, 0 ignored, 2419 matched, 25 missed
[processed in 0.13 sec]

Missed line(s): too many to print.  Use --print-all-missed to print all 25 lines

输出显示匹配到的行数、忽略的行数已经未匹配上的行数。
如果输出与预期相符,说明过滤规则书写正确,否则应该编辑规则文件,修改正则表达式后再次测试。

5 查看监控状态

fail2ban提供了 fail2ban-client 查看监控状态。

# 查看fail2ban的运行状态
fail2ban-client status
# 输出内容如下:
# Status
# |- Number of jail:      2
# `- Jail list:   frp, ssh-iptables
# 查看指定监控的状态
fail2ban-client status frp
# 输出内容如下
# Status for the jail: frp
# |- Filter
# |  |- Currently failed: 0
# |  |- Total failed:     10
# |  `- File list:        /data/frp/log/frps.log
# `- Actions
#    |- Currently banned: 0
#    |- Total banned:     1
#   `- Banned IP list:

Banned IP list 列出了当前被封禁的IP。如果发现有误杀IP,可以用unbanip解封:

fail2ban-client set nginxcc unbanip IP地址

本文参考来源:
使用fail2ban防止恶意扫描和CC攻击
使用 fail2ban 保护 frp 服务

sggq
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
简单几行命令实现限流 frp 端口 ip 服务器 tc
周乾伟的博客
05-10 2252
要实现对本地某个端口进行限流,这种需求我是在搭建内外网穿透服务器时遇到的。 #! /bin/bash /sbin/tc qdisc del dev eth0 root # remove all rules. /sbin/tc qdisc add dev eth0 root handle 1:0 htb default 10 /sbin/tc class add dev eth0 parent 1:...
通过fail2ban服务监控frps日志实现禁止非法IP
嘻哈记的运维学习之路
03-18 867
服务器使用了frp作为了内网穿透软件,查看frps的日志,发现总有一些国外的ip在扫描这台服务器的端口信息,日志如下图,所以想通过fail2ban服务能够直接禁用这些ip扫描服务器。
配置fail2ban防止暴力破解
最新发布
完颜振江
06-13 400
在[DEFAULT]部分中设置全局的默认参数。例如,可以定义封禁时间、最大尝试次数等。
nginx环境安装配置fail2ban屏蔽攻击ip
weixin_34395205的博客
12-11 1123
  安装 fail2ban   yum install -y epel-release yum install -y fail2ban 设置 Nginx 的访问日志格式  这个是设置 fail2ban 封禁的关键因素   log_format main '$remote_addr $status $request $body_bytes_sent [$time_local] $ht...
linux禁用ip(防止frps转发的端口被爆破)并屏蔽境外ip
月清晖的程序猿生活
02-23 4928
首先在frps配置文件中加入日志记录 [common] bind_port = ** dashboard_user = ** dashboard_pwd = ** dashboard_port = ** log_file = /etc/frps/frps.log log_level = info log_max_days = 30 内容少的手动搜索,内容多下载到本地操作 查找 get a user connection 只要不是自己的ip和内网ip就记录下来,在ssh运行 iptables
手动解除fail2banip
ssgy1312的博客
05-09 1442
首先检查fail2ban的log文件,看是哪一个jail的规则触发了封锁,比如apache的规则。然后可以使用fail2ban-client确认该规则的封锁状态: root@minisipserver:~$ fail2ban-client status apache Status for the jail: apache |- filter | |- File list: /var/log/apache2/error.log | |- Currently failed: 0 | - To
fail2ban查看禁止ip以及解禁
Lillian_cl的博客
03-23 8156
为了检验fail2ban状态(会显示出当前活动的监狱列表): ~$ sudo fail2ban-client status Status |- Number of jail: 2 `- Jail list: ssh-iptables, sshd 可以检验一个特定监狱的状态(ssh-iptables 或者 sshd) ~ $ sudo fail2ban-client status ssh-ipta...
frp安装包,含服务端与客户端
10-07
frp安装包,含服务端与客户端
linux frp 客户端 与服务端
11-11
2. **TCP与UDP支持** FRP不仅支持常见的HTTP和HTTPS协议,还支持TCP和UDP协议。这意味着你可以通过FRP穿透内网的非Web服务,如SSH、FTP、自定义TCP服务等。UDP支持则可以用于需要实时传输的场景,如DNS查询、视频流...
frp_0.31.2.rar
03-08
frp 0.31.2版本的linux windows mac OSX系统安装包 frp_0.31.2_darwin_amd64.tar.gz frp_0.31.2_freebsd_386.tar.gz frp_0.31.2_freebsd_amd64.tar.gz frp_0.31.2_linux_386.tar.gz frp_0.31.2_linux_amd64.tar...
frp内网穿透工具 v0.34.2
11-24
为您提供frp内网穿透工具下载,frp是一个高性能的反向代理应用,可以帮助您轻松地进行内网穿透,对外网提供服务,支持tcp,http,https等协议类型,并且web服务支持根据域名进行路由转发。frp的作用:利用处于内网或...
frp_0.31.2_64.rar
02-22
frp内网穿透工具已知windows最新原版,未经修改,frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 https 应用协议提供了额外的能力,且尝试性支持了点对点穿透。
frp_0.34.2 linux+windows 64位安装程序 2020年11月版本
11-16
frp 是一款轻便高效的反向代理软件,可以进行内网穿透,对外网提供服务,支持 tcp, http, https 等协议类型,并且 web 服务支持根据域名进行路由转发。用户可方便地通过自己申请的网络空间和域名对普通内网或通过4G...
内网穿透.rar frp_0.36.2_linux_amd64.tar.gz,frp_0.36.2_windows_amd64.zip
06-08
frp_0.36.2_linux_amd64.tar.gz,frp_0.36.2_windows_amd64.zip
frp_0.31.2_windows_386.zip
02-21
frp_0.31.2_windows_386.zip】这个压缩包包含的是FRPFrpc and Frps)的一个版本,具体是0.31.2版,适用于Windows 32位操作系统。FRP,全称为“Fast Reverse Proxy”,是一个功能强大的内网穿透工具,它通过反向...
frp-0.36.2-windows-amd64 内网穿透
04-14
描述中的"frp_0.36.2_windows_amd64"与标题相呼应,进一步确认了这是FRP的Windows 64位版本,用于内网穿透功能。这通常包括`frpc`(客户端)和`frps`(服务器端)两个部分,客户端部署在内网服务器上,而服务器端...
主动式防火墙fail2ban
奋斗
07-15 1847
介绍fail2ban的,有两篇文章都是比较侧重原理的: 主动式防火墙fail2ban CentOS下安装fail2ban防暴力破解工具 现转载第一篇。 ===================== 分割线 ============================= 对于一个成熟的网站来说,每天没有受到几次攻击是说不过去的。  之前我写过一个shell script,实现过“
fail2ban(肥图班) IP自动屏蔽
weixin_45036941的博客
06-02 1067
众所周知各类云服务器经常被用做矿机,大部分由于对外端口暴漏,被全家福只有自己的人恶意使用从而盈利今天发的这款linux工具是针对IP进行登陆限制的软件 软件原理  fail2ban运行机制:简单来说其功能就是防止暴力破解。工作的原理是通过分析一定时间内的相关服务日志,将满足动作的相关IP利用iptables加入到dorp(丢弃)列表一定时间。 fail2banipdata开源的产物 适用于linux服务器,本章节使用的系统版本是Centos7 其他版本原理相同请自研 安装方法 1:tar包 2:yum i
服务器被攻击怎么封禁IP
xiaoyiandun的博客
01-14 1762
如果您的服务器被入侵了,最好的做法是立即断开网络连接,以防止攻击者进一步损害您的系统。如果您发现了任何可疑的活动,您应该立即联系您的网络管理员,或者联系技术支持以获取帮助。例如,在 Linux 系统中,您可以使用 iptables 命令来封禁 IP 地址。fail2ban 是一款开源的安全工具,可以根据指定的规则,自动封禁来自特定 IP 地址的流量。如果您希望在您的服务器上封禁某个 IP 地址,您可以使用防火墙规则来实现。具体来说,您可以使用防火墙软件或硬件来阻止来自特定 IP 地址的流量到达您的服务器。
linux 如何查看vnc 端口号
05-31
要查看 VNC 的端口号,可以执行以下命令: ``` netstat -tlnp | grep Xvnc ``` 这个命令会列出当前服务器上正在监听的端口以及对应的进程。其中,`-tlnp` 参数用于列出所有 TCP 连接的监听端口,`grep Xvnc` 用于过滤出包含 `Xvnc` 关键字的行,从而只显示 VNC 相关的端口。注意,这个命令可能需要在 root 权限下执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值