通过fail2ban服务监控frps日志实现禁止非法IP

于 2024-03-18 17:36:18 发布
阅读量618 收藏 10
点赞数 3
分类专栏: 运维工作日志 文章标签: 网络协议 fail2ban frp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011709380/article/details/136597175
版权

前言

服务器使用了frp作为了内网穿透软件,查看frps的日志,发现总有一些国外的ip在扫描这台服务器的端口信息,日志如下图,所以想通过fail2ban服务能够直接禁用这些ip扫描服务器。

在这里插入图片描述

1、安装fail2ban服务

yum install -y fail2ban

2、设置查找frps的规则

[root@lianhe ~]# cat /etc/fail2ban/filter.d/frps.conf
[Definition]

failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
            ^.*get a new work connection: \[<HOST>:[0-9]*\]
ignoreregex =

3、设置发现frps的异常ip的操作

# 进入fail2ban目录,copy一份配置文件
[root@lianhe fail2ban]#  cp jail.conf  jail.local

# 在 jail.local 下添加一下规则
[frp]
enabled = true
findtime = 600
maxretry = 5
bantime = -1
filter = frps
logpath = /var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
protocol = all
chain = all
port = all
action = iptables-allports[name=frp,protocol=tcp]

配置说明
frp:监控目标名称
port:封禁全部端口
filter:过滤规则,我们使用自定义的frps
action:捕捉到恶意IP后执行的操作,本文使用iptables对IP封禁所有端口
logpath:需要监控的日志文件
bantime:封禁时间,单位为秒
findtime:查找时间段,单位为秒
maxretry:允许的最大失败次数,这里我们配置10分钟内触发10次规则,那么就封禁掉

4、永久禁用ip地址

4.1 编辑文件:/etc/fail2ban/jail.local

在此文件中查找banaction条目。以下屏幕截图显示禁止是iptables-multiport。

在这里插入图片描述

4.2 编辑 banaction文件: /etc/fail2ban/action.d/iptables-multiport.conf

# 在 actionstart 默认条目下,添加以下行:
cat /etc/fail2ban/ip.banned | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done

# 在 actionban 默认条目下,添加以下行:
echo '<ip>' >> /etc/fail2ban/ip.banned

5、fail2ban服务重新加载

fail2ban-client reload

6、查看frp服务器禁用那些ip

[root@lianhe ~]# fail2ban-client status frp
Status for the jail: frp
|- Filter
|  |- Currently failed:	21
|  |- Total failed:	224
|  `- File list:	/var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
`- Actions
   |- Currently banned:	32
   |- Total banned:	32
   `- Banned IP list:	118.113.244.254 87.120.84.35 172.104.238.212 162.215.216.231 107.173.211.107 61.140.220.92 218.19.45.23 219.152.231.118 168.76.123.59 45.183.247.34 103.164.216.221 162.241.69.208 185.137.122.180 162.62.218.43 124.152.99.57 45.88.90.55 103.154.184.109 87.107.190.12 87.107.190.59 94.156.8.86 119.28.118.4 59.13.123.99 101.126.69.60 124.156.204.21 68.66.251.162 58.210.241.5 103.78.12.14 35.200.157.232 43.153.176.71 91.92.245.192 171.106.204.37 108.179.217.143

7、通过iptables查看禁用ip

在这里插入图片描述

8、如果有误判的ip地址,解决方法

fail2ban-client set  frps  unbanip [ip地址]
嘻哈记
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
frps.service
08-31
frps.service 内网穿透工具frp服务器端,用来配置开机启动服务,搭配客户端,可以让内网机器实现穿透
frps:0.53.2 服务端镜像
01-31
内网穿透服务端,结合第五章.frp内网穿透教程使用,该镜像为服务
配置nginx保证frps服务器与web共用80端口的方法
09-30
主要介绍了frps服务端与nginx可共用80端口的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
remote_frps:简单的frps服务
02-20
remote_frps 简单的frps服务
RDP远程访问(远程桌面)的FRPC端设置,配合FRPS服务
11-07
RDP远程访问(远程桌面)的FRPC端设置,配合FRPS服务
在linux上禁用ip(防止frps转发的端口被爆破)并屏蔽境外ip
月清晖的程序猿生活
02-23 4705
首先在frps配置文件中加入日志记录 [common] bind_port = ** dashboard_user = ** dashboard_pwd = ** dashboard_port = ** log_file = /etc/frps/frps.log log_level = info log_max_days = 30 内容少的手动搜索,内容多下载到本地操作 查找 get a user connection 只要不是自己的ip和内网ip就记录下来,在ssh运行 iptables
搭建内网穿透实现访问windows远程桌面
ledrsnet的博客
05-07 1197
搭建内网穿透实现访问windows远程桌面 开源的内网穿透软件有很多,如 frp和nps frp github地址:https://github.com/fatedier/frp nps github地址:https://github.com/ehang-io/nps 这里使用frp进行搭建。 实验环境 服务端:Ubuntu 20.04 LTS 客户端:windows 7 32位 版本下载:https://github.com/fatedier/frp/releases 客户端程序和服务端程序都在一个压
frpfail2ban结合禁用ip
零碎记录一些自己用到的东西
03-06 955
使用frp内网穿透,导致我们的ip会被扫描,我们利用fail2ban通过frps.log的日志文件,正则匹配多次访问的ip,将这一类ip禁用,从而保护我们内网穿透服务
如何使用 Fail2ban 防止对 Linux 的暴力攻击?
网络技术联盟站
05-26 3314
Fail2ban 是一个用于防御暴力攻击的开源工具。它通过监控系统日志文件,检测恶意行为并自动采取措施来保护 Linux 服务器免受攻击。Fail2ban 可以分析登录失败的日志记录,并根据预定义的规则和策略来禁止攻击者的 IP 地址。在配置文件中,您可以指定要监视的日志文件和过滤规则。通常,Fail2ban 预定义了一些规则,用于防止常见的暴力攻击,例如 SSH 登录失败和 HTTP 访问失败。您可以根据实际需求添加自定义规则。
fail2ban防暴力破解
weixin_44666439的博客
10-12 791
Fail2ban配置ssh防暴力破解 Fail2ban能够监控系统日志,匹配日志中的错误信息(使用正则表达式),执行相应的屏蔽动作(支持多种,一般为调用 iptables ),是一款很实用、强大的软件。 如:攻击者不断尝试穷举SSH、SMTP 、FTP 密码等,只要达到预设值,fail2ban 就会调用防火墙屏蔽此 IP ,并且可以发送邮件通知系统管理员。 功能、特性: 1、支持大量服务:sshd 、apache 、qmail 等 2、支持多作动作:iptables 、tcp-wrapper 、shorew
服务器安装frps实现内网穿透(2)-frpc在openwrt luci上的配置
q52875991的博客
12-12 3245
服务器安装frps实现内网穿透(2)-frpc在openwrt luci上的配置
利用空闲服务器搭建frps服务端-实现穿透代理
weixin_36723038的博客
10-31 667
穿透就是客户端A和客户端B都没有公网ip,但是客户端A需要和客户端B正常通信。中间需要一个有公网ip服务器,为两个客户端转发数据,就是客户端A绑定端口发送数据,然后坚挺改端口,然后由公网服务器告诉客户端B,客户端A的公网ip和端口,客户端B链接A的公网ip和公网端口实现客户端A和客户端B相互访问。公网服务器是负责中转数据的,相当于翻译官的角色。客户端A和客户端B之间通信都由这个翻译官传达。
fail2ban查看禁止ip以及解禁
Lillian_cl的博客
03-23 7784
为了检验fail2ban状态(会显示出当前活动的监狱列表): ~$ sudo fail2ban-client status Status |- Number of jail: 2 `- Jail list: ssh-iptables, sshd 可以检验一个特定监狱的状态(ssh-iptables 或者 sshd) ~ $ sudo fail2ban-client status ssh-ipta...
日常随笔——frp内网穿透的使用以及相关问题
Overvautious的博客
10-27 2508
这几天在别人那整了一台服务器,但怎么连接也是一个问题,由于不在同一个内网,所以需要借助内网穿透工具。好不容易解决了内网穿透,结果接连两天,内网穿透端口都一直被人攻击(心中一万只草泥马奔腾而过)。因此,这里也记录一下如何防护陌生IP攻击。 1. 内网穿透frp 什么是内网穿透: 主机A在10.21.0.0/16 局域网内,主机B在10.39.0.0/16 局域网内,那么这两台主机不能相互通信。此时需要做的就是找一台中介服务器,作为这两台主机的通信媒介。 实现内网穿透后能做什么: 实现了后就可以在校外直接访问校
服务器遭遇暴力破解,封禁恶意IP——fail2ban工具使用
最新发布
Selinu的博客
03-06 1348
针对服务器频繁遭受密码破解尝试的情况,使用fail2ban是一种有效的防御手段。fail2ban能够监控服务日志文件(如SSH登录尝试),并自动将显示恶意行为的IP地址封禁,从而减少对服务的攻击和未授权访问。
CentOS 7安装Fail2Ban以防止SSH暴力破解 (记录学习)
weixin_38912950的博客
09-04 1396
以Nginx为例,使用Fail2Ban监视Nginx日志,匹配短时间内频繁请求的IP,并使用Firewalld屏蔽这些IP,以达到CC防护的作用。
如何拒绝国外IP/屏蔽国外IP访问服务器?
热门推荐
ranriqing的博客
09-14 1万+
拒绝国外IP/屏蔽国外IP访问服务器; Ipset模块,全面提升服务器安全;
FRP内网穿透搭建-无公网IP时外部访问服务解决办法
(˶˚ ᗨ ˚˶)来康康我
01-10 5621
FRP内网穿透搭建教程,在无公网ip的情况下外部访问你的服务
服务器安装frps
09-11
服务器可以用来安装frps。因为云服务器通常具有独立的公网IP,所以它们站在明处,适合作为服务端使用。你可以选择在阿里云或其他云服务提供商上安装frps,只要服务器有公网IP即可。一般情况下,云服务器的操作系统可以使用CentOS 7,但并不一定限于阿里云的服务器。通过在云服务器上搭建frps,你可以实现低延迟的远程操作,相比于一些免费的远程桌面软件如AnyDesk、TeamViewer、向日葵等,可能会有更好的使用体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值