通过fail2ban服务监控frps日志实现禁止非法IP

嘻哈记2024-03-19 10:28

前言

服务器使用了frp作为了内网穿透软件,查看frps的日志,发现总有一些国外的ip在扫描这台服务器的端口信息,日志如下图,所以想通过fail2ban服务能够直接禁用这些ip扫描服务器。

1、安装fail2ban服务

bash 复制代码 
yum install -y fail2ban

2、设置查找frps的规则

bash 复制代码 
[root@lianhe ~]# cat /etc/fail2ban/filter.d/frps.conf
[Definition]

failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
            ^.*get a new work connection: \[<HOST>:[0-9]*\]
ignoreregex =

3、设置发现frps的异常ip的操作

bash 复制代码 
# 进入fail2ban目录,copy一份配置文件
[root@lianhe fail2ban]#  cp jail.conf  jail.local

# 在 jail.local 下添加一下规则
[frp]
enabled = true
findtime = 600
maxretry = 5
bantime = -1
filter = frps
logpath = /var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
protocol = all
chain = all
port = all
action = iptables-allports[name=frp,protocol=tcp]

配置说明

frp:监控目标名称

port:封禁全部端口

filter:过滤规则,我们使用自定义的frps

action:捕捉到恶意IP后执行的操作,本文使用iptables对IP封禁所有端口

logpath:需要监控的日志文件

bantime:封禁时间,单位为秒

findtime:查找时间段,单位为秒

maxretry:允许的最大失败次数,这里我们配置10分钟内触发10次规则,那么就封禁掉

4、永久禁用ip地址

4.1 编辑文件:/etc/fail2ban/jail.local

在此文件中查找banaction条目。以下屏幕截图显示禁止是iptables-multiport。

4.2 编辑 banaction文件: /etc/fail2ban/action.d/iptables-multiport.conf

bash 复制代码 
# 在 actionstart 默认条目下,添加以下行:
cat /etc/fail2ban/ip.banned | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j DROP; done

# 在 actionban 默认条目下,添加以下行:
echo '<ip>' >> /etc/fail2ban/ip.banned

5、fail2ban服务重新加载

bash 复制代码 
fail2ban-client reload

6、查看frp服务器禁用那些ip

bash 复制代码 
[root@lianhe ~]# fail2ban-client status frp
Status for the jail: frp
|- Filter
|  |- Currently failed:	21
|  |- Total failed:	224
|  `- File list:	/var/lib/docker/containers/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985/ca21dd5be6d88edad61619d3c14366dda78858ee588c751714a0facc5e2c4985-json.log
`- Actions
   |- Currently banned:	32
   |- Total banned:	32
   `- Banned IP list:	118.113.244.254 87.120.84.35 172.104.238.212 162.215.216.231 107.173.211.107 61.140.220.92 218.19.45.23 219.152.231.118 168.76.123.59 45.183.247.34 103.164.216.221 162.241.69.208 185.137.122.180 162.62.218.43 124.152.99.57 45.88.90.55 103.154.184.109 87.107.190.12 87.107.190.59 94.156.8.86 119.28.118.4 59.13.123.99 101.126.69.60 124.156.204.21 68.66.251.162 58.210.241.5 103.78.12.14 35.200.157.232 43.153.176.71 91.92.245.192 171.106.204.37 108.179.217.143

7、通过iptables查看禁用ip

8、如果有误判的ip地址,解决方法

bash 复制代码 
fail2ban-client set  frps  unbanip [ip地址]
相关推荐
midsummer_woo1 小时前
【2025年】解决Burpsuite抓不到https包的问题
网络协议·http·https
光芒Shine1 小时前
【物联网-TCP/IP】
网络·网络协议·tcp/ip
小白杨树树3 小时前
【WebSocket】SpringBoot项目中使用WebSocket
spring boot·websocket·网络协议
云计算-Security4 小时前
如何理解 IP 数据报中的 TTL?
网络协议·tcp/ip
itachi-uchiha5 小时前
命令行以TLS/SSL显式加密方式访问FTP服务器
服务器·网络协议·ssl
稳联技术5 小时前
实践提炼,EtherNet/IP转PROFINET网关实现乳企数字化工厂增效
网络·网络协议·tcp/ip
Icoolkj6 小时前
WebRTC 与 WebSocket 的关联关系
websocket·网络协议·webrtc
红米饭配南瓜汤6 小时前
WebRTC中的几个Rtp*Sender
网络·网络协议·音视频·webrtc·媒体
猫头虎8 小时前
[特殊字符]解决 “IDEA 登录失败。不支持早于 14.0 的 GitLab 版本” 问题的几种方法
java·ide·网络协议·http·https·gitlab·intellij-idea
2501_9160074711 小时前
绕过 Xcode?使用 Appuploader和主流工具实现 iOS 上架自动化
websocket·网络协议·tcp/ip·http·网络安全·https·udp
热门推荐
01基于STM32的智能电池管理系统02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【无人机】无人机通信模块,无人机图数传模块的介绍,数传,图传,图传数传一体电台,05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07VMware虚拟机安装Win7专业版保姆级教程(附镜像包)08DeepSeek各版本说明与优缺点分析09组基轨迹建模 GBTM的介绍与实现(Stata 或 R)10海康Visionmaster-常见问题排查方法-启动阶段