fail2ban postfix Filter Fehler

[serecords]

Hallo,

ich habe folgende /etc/fail2ban/postfix.local Datei

Code: Alles auswählen

# Fail2Ban configuration file
#
# Author: Cyril Jaquier
#
# $Revision: 728 $
#
[Definition]
# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
# host must be matched by a group named "host". The tag "<HOST>" can
# be used for standard IP/hostname matching and is only an alias for
# (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = reject: RCPT from (.*)[<HOST>]: 554
reject: RCPT from (.*)[<HOST>]: 450
warning: unknown[<HOST>]: SASL LOGIN authentication failed: authentication failure
# Option: ignoreregex
# Notes.: regex to ignore. If this regex matches, the line is ignored.
# Values: TEXT
#
ignoreregex =

Wenn ich fail2ban neu starte, um die Konfiguration neu einzulesen, kommt im logfile folgende Fehlermeldung:

Code: Alles auswählen

fail2ban.filter : ERROR Unable to compile regular expression 'reject: RCPT from (.*)[(?:::f{4,6}:)?(?P<host>[\w\-.^_]+)]: 554'

Ich kann meinen Fehler nicht finden, kann mir jemand sagen was falsch ist und wie es aussehen müsste?

EDIT: Achja, ich benutze Debian squeeze.

[RipixXx]

Hi,

bei mir ist die Datei woanders in /etc/fail2ban/filter.d/postfix.conf aber mit gleichen Inhalt ?
Warum Keien Ahnung aber bei mir sieht folgende Zeile so aus

Deine

Code: Alles auswählen

failregex = reject: RCPT from (.*)[<HOST>]: 554
reject: RCPT from (.*)[<HOST>]: 450

Meine

Code: Alles auswählen

failregex = reject: RCPT from (.*)\[<HOST>]: 554

Deine Zeile mit

Code: Alles auswählen

reject: RCPT from (.*)[<HOST>]: 450

gibts bei mir garnicht, denke das du da ausversehen doppelt koppiert hast.

Probiers mal aus.

Gruß Joachim

[serecords]

Hallo, ja bei der Angabe des Verzeichnisses habe ich mich vertan, die Datei liegt im gleichen Verzeichnis wie deine auch.

Nun ich wollte den Inhalt ergänzen, deshalb sind dort weitere Zeilen. Muss ich bei jeder Zeile "failregex:" davor setzen?

[RipixXx]

nein musst du nicht..

also

Code: Alles auswählen

failregex = reject: RCPT from (.*)\[<HOST>]: 554
reject: RCPT from (.*)\[<HOST>]: 450

aber du musst das fehlende Zeichen \ einfügen..

Gruß Joachim

[serecords]

Welches Zeichen fehlt denn hier?

Code: Alles auswählen

failregex = reject: RCPT from (.*)[<HOST>]: 554
reject: RCPT from (.*)[<HOST>]: 450
warning: unknown[<HOST>]: SASL LOGIN authentication failed: authentication failure

EDIT: Ahh, ich sehe es... Ich werd es mal probieren.

EDIT 2: Die Fehlermeldung ist nun weg, ab jetzt wird ich das Log mal beobachten ob fail2ban auch bannt

[serecords]

Ich hab nun mal den failregex getestet und er funktioniert nicht.

Ich hatte fail2ban für postfix nach folgender Anleitung konfiguriert: http://www.kinader.eu/?p=395
Dann die beiden "reject:" Zeilen wie oben gezeigt mit "\" ergänzt

Jetzt hab ich es mit diesem Befehl überprüfen wollen, basieren auf einem tatsächlich vorhandenen log Eintrag in der mail.log:

Code: Alles auswählen

root@server-name:~# fail2ban-regex 'Jan 28 16:33:48 server-name postfix/smtpd[395]: warning: unknown[11.11.11.11]: SASL LOGIN authentication failed: authentication failure' 'warning: unknown[<HOST>]: SASL LOGIN authentication failed: authentication failure'

Und es hat 0 matches ergeben.

Ich gehe daher mal davon aus, dass die o. g. Anleitung fehlerhaft ist.
Wie müssen denn nun die korrekten failregex aussehen?