Fail2ban: ab ca 139.000 Hosts werden Bans nicht mehr per iptable durchgeführt

GwenDragon

Registered User
Kann mir jemand sagen, warum Fail2ban es nicht mehr schafft, mit apache-badbot und iptables Hosts per IP zu sperren?

fail2ban.log zeigt zwar dass der Filter was gefunden hat, aber nicht den Ban.

Bei niedrigen Zahlen an Hosts klappte das noch heute Mittag.
 
139k ist ja mal 'ne Ansage!
Und ich habe mir bei meinen 2000 Adressen bereits Sorgen gemacht.
Bei der Gelegenheit habe ich herausgefunden, das fail2ban auch die CIDR-Notation akzeptiert;
also wenn du z.B. bereits 50 Adressen aus einem C-Netz hast, dann kannst die rausschmeißen und statt dessen 1.2.3.0/24 eintragen.
Die 50 Adressen solltest du erst mit einem unban 1.2.3.0/24 austragen, und anschließend ein ban 1.2.3.0/24 hinzufügen;
so wird deine Liste kürzer; aber keine Ahnung, ob das überhaupt was hilft.
Man könnte einen AI-Client beauftragen, dazu ein Script zu schreiben.

Ich habe das Problem mit einem bad bot-Netz; da kamen an einem Tag bis zu 17000 Request rein; ich habe das dann am Ende mit dem Webserver gelöst, weil zu jeder IP-Adresse immer nur genau ein Request kam; da hätte fail2ban sowieso nicht geholfen.

Grüße!
 
Back
Top