Есть fail2ban, который нормально работает на перебор паролей по ssh.Поставил owncloud (работает по https, файлы синхронизирует, все ок).
Owncloud пишет лог в /var/log/owncloud.log
Например:
{"app":"core","message":"Login failed: 'admin333' (Remote IP: '192.168.22.133', X-Forwarded-For: '')","level":2,"time":"2014-11-05T11:08:06+00:00"}
*****************************************************************
В файле /etc/fail2ban/jail.local в конце добавлено:
[owncloud]
enabled = true
filter = owncloud
action = iptables[name=Owncloud, port=https, protocol=tcp]
logpath = /var/log/owncloud.log
bantime = 30000
findtime = 3600
maxretry = 3
*****************************************************************
/etc/fail2ban/filter.d/owncloud.conf:
[Definition]
failregex = {"app":"core","message":"Login failed: '.*' \(Remote IP: '<HOST>', X-Forwarded-For: '.*'\)","level":2,"time":".*"}
^{"app":"core","message":"Login failed: '.*' \(Remote IP: '<HOST>', X-Forwarded-For: '.*'\)","level":2,"time":".*"}\s*$
ignoreregex =
Проверка fail2ban-regex /var/log/owncloud.log /etc/fail2ban/filter.d/owncloud.conf:
Running tests
=============
Use failregex file : /etc/fail2ban/filter.d/owncloud.conf
Use log file : /var/log/owncloud.log
...
Lines: 155 lines, 0 ignored, 155 matched, 0 missed
Все ок. Все события в логе соответствуют фильтру.
Но блин, не работает! Не добавляет в iptables ip адрес компа, с которого перебираю пароли. Подбор по ssh ловит и банит, а owncloud - никак.
Если руками выполнить:
iptables -I fail2ban-Owncloud 1 -s 192.168.22.133 -j REJECT --reject-with icmp-port-unreachable
то все ок:
Chain fail2ban-Owncloud (1 references)
target prot opt source destination
REJECT all -- 192.168.22.133 anywhere reject-with icmp-port-unreachable
RETURN all -- anywhere anywhere
Chain fail2ban-SSH (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Автоматом - не работает.
Подскажите, что копать?