Проблемы с правильным конфигом dovecot и fail2ban

[man_gust]

Hello all.
Имеем dovecot (только pop3 сервис)
Как для dovecot можно проверить правильность regexp выражения для fail2ban?

#/var/log/dovecot/dovecot.log
2010-12-07 09:57:53 pop3-login: Info: Aborted login (auth failed, 1 attempts): user=<weqw>, method=PLAIN, rip=195.62.127.4, lip=195.62.128.5

#/etc/fail2ban/filter.d/dovecot.conf
#(http://www.fail2ban.org/wiki/index.php/Talk:Dovecot)
[Definition]
failregex = dovecot.*pop3-login.*Aborted login.*rip=<HOST>.*
ignoreregex =

#/etc/fail2ban/jail.conf
[dovecot]
enabled = true                          
filter = dovecot                            
action = iptables-multiport[name=dovecot, port="pop3", protocol=tcp]
logpath = /var/log/dovecot/dovecot.log    
maxretry = 2                
findtime = 60                                      
bantime = 60

в течении 1 минуты делаю (ручками)  4 неправильных попытки проверки почты – никакие ИП не блокируются.
Чего делаю не так? Как проверить ?

[Karl500]

Проверка любых правил fail2ban

fail2ban-regex <LOG> <REGEX>

"Правильное" правило для dovecot:

failregex = (?: pop3-login|imap-login): (?:Authentication failure|Aborted login \(auth failed|Aborted login \(tried to use disabled|Disconnected \(auth failed).*rip=(?P<host>\S*),.*

[man_gust]

Разобрался ...
Правильный regexp тот, который работает  - то-есть важна сцепка - regexp-формат лога

Я анализировал логи dovecot – похоже fail2ban их не понимает.
После этого натравил на системный лог – и всё запахало - “Рабочий” конфиг  такой:


#/var/log/auth.log
Dec  9 16:30:50 mail dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin rhost=x.x.x.x

#/etc/fail2ban/filter.d/dovecot.conf

[Definition]                                                                                                                                                                                                   
failregex = pam.*dovecot.*(?:authentication failure).*rhost=(?:::f{4,6}:)?(?P<host>\S*)                                                                                                                       
ignoreregex = 

#/etc/fail2ban/jail.conf
[dovecot]                                                                                                                                                                                                     
enabled = true                                                                                                                                                                                                 
filter = dovecot                                                                                                                                                                                               
action = iptables-multiport[name=dovecot, port="pop3,imap", protocol=tcp]                                                                                                                                     
logpath = /var/log/auth.log                                                                                                                                                                                   
maxretry = 20                                                                                                                                                                                                 
findtime = 1200                                                                                                                                                                                               
bantime = 1200

Работает на Ubuntu 10.04.01 LTS
Блокирует после 5 сек брутефорса

[remonik]

тут видишь вапрос такой что дроп происходит по имени юзера а не по попыткам подбора пасса к ящику
то есть если ты знаешь имя юзера-ящика то без проблем данный фильтр работать не будет (проверял гидрой)