通过fail2ban服务监控frps日志实现禁止非法IP

嘻哈记2024-03-19 10:28

前言

服务器使用了frp作为了内网穿透软件,查看frps的日志,发现总有一些国外的ip在扫描这台服务器的端口信息,日志如下图,所以想通过fail2ban服务能够直接禁用这些ip扫描服务器。

1、安装fail2ban服务

bash 复制代码 
yum install -y fail2ban

2、设置查找frps的规则

bash 复制代码 
[root@lianhe ~]# cat /etc/fail2ban/filter.d/frps.conf
[Definition]

failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
            ^.*get a new work connection: \[<HOST>:[0-9]*\]
ignoreregex =

3、设置发现frps的异常ip的操作

bash 复制代码 
# 进入fail2ban目录,copy一份配置文件
[root@lianhe fail2ban]#  cp jail.conf  jail.local

# 在 jail.local 下添加一下规则
[frp]
enabled = true
findtime = 600
maxretry = 5
bantime = -1
filter = frps
logpath = /var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
protocol = all
chain = all
port = all
action = iptables-allports[name=frp,protocol=tcp]

配置说明

frp:监控目标名称

port:封禁全部端口

filter:过滤规则,我们使用自定义的frps

action:捕捉到恶意IP后执行的操作,本文使用iptables对IP封禁所有端口

logpath:需要监控的日志文件

bantime:封禁时间,单位为秒

findtime:查找时间段,单位为秒

maxretry:允许的最大失败次数,这里我们配置10分钟内触发10次规则,那么就封禁掉

4、永久禁用ip地址

4.1 编辑文件:/etc/fail2ban/jail.local

在此文件中查找banaction条目。以下屏幕截图显示禁止是iptables-multiport。

4.2 编辑 banaction文件: /etc/fail2ban/action.d/iptables-multiport.conf

bash 复制代码 
# 在 actionstart 默认条目下,添加以下行:
cat /etc/fail2ban/ip.banned | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done

# 在 actionban 默认条目下,添加以下行:
echo '<ip>' >> /etc/fail2ban/ip.banned

5、fail2ban服务重新加载

bash 复制代码 
fail2ban-client reload

6、查看frp服务器禁用那些ip

bash 复制代码 
[root@lianhe ~]# fail2ban-client status frp
Status for the jail: frp
|- Filter
|  |- Currently failed:	21
|  |- Total failed:	224
|  `- File list:	/var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
`- Actions
   |- Currently banned:	32
   |- Total banned:	32
   `- Banned IP list:	118.113.244.254 87.120.84.35 172.104.238.212 162.215.216.231 107.173.211.107 61.140.220.92 218.19.45.23 219.152.231.118 168.76.123.59 45.183.247.34 103.164.216.221 162.241.69.208 185.137.122.180 162.62.218.43 124.152.99.57 45.88.90.55 103.154.184.109 87.107.190.12 87.107.190.59 94.156.8.86 119.28.118.4 59.13.123.99 101.126.69.60 124.156.204.21 68.66.251.162 58.210.241.5 103.78.12.14 35.200.157.232 43.153.176.71 91.92.245.192 171.106.204.37 108.179.217.143

7、通过iptables查看禁用ip

8、如果有误判的ip地址,解决方法

bash 复制代码 
fail2ban-client set  frps  unbanip [ip地址]
相关推荐
哑巴语天雨11 小时前
前端面试-网络协议篇
websocket·网络协议·http·面试·https
ktkiko1112 小时前
Websocket——心跳检测
网络·websocket·网络协议
小梁不秃捏14 小时前
HTTP 常见状态码技术解析(应用层)
网络·网络协议·计算机网络·http
yourkin66616 小时前
HTTPS(下)
服务器·网络协议·https
元气满满的热码式17 小时前
logstash中的input插件(http插件,graphite插件)
网络·网络协议·http·elasticsearch·云原生
豪宇刘19 小时前
从三个维度了解 RPC(Remote Procedure Call,远程过程调用)
网络·网络协议·rpc
人工干智能1 天前
科普:你的笔记本电脑中有三个IP:127.0.0.1、无线网 IP 和局域网 IP;两个域名:localhost和host.docker.internal
网络协议·tcp/ip·电脑
anddddoooo1 天前
域内证书维权
服务器·网络·网络协议·安全·网络安全·https·ssl
mit6.8241 天前
[实现Rpc] 通信-Muduo库的实现 | && 完美转发 | reserve | unique_lock
c++·网络协议·rpc
IsToRestart1 天前
什么是RPC,和HTTP有什么区别?
网络协议·http·rpc
热门推荐
01DeepSeek各版本说明与优缺点分析02如何在WPS和Word/Excel中直接使用DeepSeek功能03DeepSeek本地部署详细指南04太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)05本地部署DeepSeek教程(Mac版本)06DeepSeek r1本地安装全指南07DeepSeek RAGFlow构建本地知识库系统08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具10【docker】Windows10安装Docker Desktop - WSL update failed