Ищу помощи с fail2ban

[Ввысь]

Здравствуйте.
Подскажите/помогите.

Есть:
iptaf пишет лог
Thu Oct  2 18:58:35 2014; TCP; wlan0; 60 bytes; from 192.168.1.200:7777 to 192.168.1.40:52013; first packet (SYN)
Thu Oct  2 18:58:35 2014; TCP; wlan0; 463 bytes; from 192.168.1.200:7777 to 192.168.1.40:52013; FIN sent; 17 packets, 21309 bytes, av$
Thu Oct  2 18:58:35 2014; TCP; wlan0; 52 bytes; from 192.168.1.200:7777 to 192.168.1.40:52013; FIN acknowleged

есть 7777.conf
[Definition]

# Option: failregex
# Notes.: regex to match the password failures messages in the logfile. The
#          host must be matched by a group named "host". The tag "<HOST>" can
#          be used for standard IP/hostname matching and is only an alias for
#          (?:::f{4,6}:)?(?P<host>[\w\-.^_]+)
# Values: TEXT
#
failregex = /from <HOST>:7777 to/

# Option:  ignoreregex
# Notes.:  regex to ignore. If this regex matches, the line is ignored.
# Values:  TEXT
#
ignoreregex =

jail.conf
enabled  = true
port     = 7777
filter   = 7777
logpath  = /home/test/traf.log
maxretry = 6

рестарт fail2ban
лог fail2ban
2014-10-02 21:23:13,258 fail2ban.server : INFO   Stopping all jails
2014-10-02 21:23:13,381 fail2ban.jail   : INFO   Jail '7777' stopped
2014-10-02 21:23:13,382 fail2ban.server : INFO   Exiting Fail2ban
2014-10-02 21:23:13,694 fail2ban.server : INFO   Changed logging target to /home/test/fail2ban.log for Fail2ban v0.8.6
2014-10-02 21:23:13,694 fail2ban.jail   : INFO   Creating new jail '7777'
2014-10-02 21:23:13,695 fail2ban.jail   : INFO   Jail '7777' uses Gamin
2014-10-02 21:23:13,704 fail2ban.filter : INFO   Set maxRetry = 6
2014-10-02 21:23:13,705 fail2ban.filter : INFO   Set findtime = 600
2014-10-02 21:23:13,705 fail2ban.actions: INFO   Set banTime = 600
2014-10-02 21:23:13,708 fail2ban.jail   : INFO   Jail '7777' started


iptables -S
test@test:~$ iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-7777
-A INPUT -p tcp -m multiport --dports 7777 -j fail2ban-7777
-A fail2ban-7777 -j RETURN
test@test:~$

Подключаюсь 6 и более раз(стоит разрешенное 6) ничего не происходит. В параметрах стоит 6 подключений за 600 секунд.
Что я делаю не так? Почему не срабатывает?
Спасибо.

[AnrDaemon]

https://forum.ubuntu.ru/index.php?topic=250687.0
Кончайте темы плодить.

[Ввысь]

на всякий случай, если Вы не увидели, та проблема уже мной решена - отметка РЕШЕНО так же мной проставлена.
если проще - в том сообщении мне была нужна помощь в правильном написании файла conf, тут же я хотел спросить, тех кто разбирается, в чем причина неработоспособности.
информация так же предоставлена в полном объеме)

[AnrDaemon]

Ещё раз - вы используете инструменты не по назначению. Не вижу смысла решать надуманные проблемы.

[bukass]

на всякий случай, если Вы не увидели, та проблема уже мной решена - отметка РЕШЕНО так же мной проставлена.
если проще - в том сообщении мне была нужна помощь в правильном написании файла conf, тут же я хотел спросить, тех кто разбирается, в чем причина неработоспособности.
информация так же предоставлена в полном объеме)

Раз уж на то пошло - редактировать .conf нет нужды совсем.

[Ввысь]

AnrDaemon, использовать fail2ban это не моя фантазия.

https://forum.ubuntu.ru/index.php?topic=248201.msg1959050#msg1959050

Мне посоветовали, я пошел по этому пути.

bukass, скорее всего Вы правы, но я и про это спрашивал https://forum.ubuntu.ru/index.php?topic=250687.msg1979472#msg1979472 ответа не получил. Без вмешательства в conf при запуске я получал error. Нашел пример в сети, сделал, ошибка пропала.

[AnrDaemon]

AnrDaemon, использовать fail2ban это не моя фантазия.

https://forum.ubuntu.ru/index.php?topic=248201.msg1959050#msg1959050

Да, это фантазия человека, незнакомого с модулем recent.
И твоя неспособность читать документацию.

--seconds и есть время блокировки. Если нужно больше, или что-то другое, опиши словами, чего ты хочешь добиться.

[bukass]

Ввысь,
Я к тому что fail2ban прекрасно работает с .local, можно до талого менять настройки в них, а conf своего рода образцы (эталоны) настроек, при обновлении программы файлы conf поменяются на актуальные для версии программы.

[Ввысь]

Да, это фантазия человека, незнакомого с модулем recent.
И твоя неспособность читать документацию.

--seconds и есть время блокировки. Если нужно больше, или что-то другое, опиши словами, чего ты хочешь добиться.

про документацию - согласен)

Ввысь,
fail2ban прекрасно работает с .local

Да, это я знаю, спасибо, просто на тестовой машинке можно делать все что угодно. поэтому и экспериментирую с conf.


Как выглядела задача в начале:
День добрый.
Есть машина к которой подключаются пользователи. Есть правило ограничивающее количество попыток подключения за период времени.

$iptables -A INPUT -p tcp --syn -i eth0 --dport 1234 -d 10.1.1.5 -m recent --name test --update --seconds=60 --hitcount=3 -j REJECT
$iptables -A INPUT -p tcp --syn -i eth0 --dport 1234 -d 10.1.1.5 -m recent --name test --set -j ACCEPT
$iptables -A INPUT -p tcp --dport 1234 -i $extif -j DROP

Но тут нет параметра "на сколько блокировать", сейчас новые попытки подключения возможны через 60 секунд. А как сделать 1 час? Т.е. 3 попытки в 60 секунд и блокировка на 60 минут.
Спасибо.

AnrDaemon, верно ли будет просто изменить параметр -second?

Спасибо.

[AnrDaemon]

Смотри, если ты поставишь вместо 60 секунд 3600, дятлам придётся ждать МИНИМУМ ЧАС с последней попытки подключения, чтобы попробовать подключиться снова. Любая попытка подключения в течение бана будет продлевать бан до одного часа.
Но схему можно построить немного иначе.
Проверять по одной таблице, а выловленных дятлов заносить в другую. По которой будет только проверяться, не прошло ли часа с момента попадания, без обновления информации.
Т.е. схема примерно следующая:

--rcheck --name дятлы --hitcount 1 --seconds 3600 -j REJECT
--rcheck --name дятлы --remove
--set --name птенчики
--rcheck --name птенчики --seconds 60 --hitcount 4 -j дупло
дупло: --name дятлы --set