fail2ban ошибки

[blank]

Добрый день!

поставил я на Ubuntu 16.04.3 LTS (GNU/Linux 4.4.0-97-generic x86_64) iredmail.

вроде все работает, но как-то странно себя ведет fail2ban.
после трех не правильных ввода пароля, например на страничке roundcube, IP с которого производились попытки блокируется на время порядка 20 сек.
и в лог падает сообщения

Oct 31 21:04:21 mail roundcube: <74r2pojk> IMAP Error: Login failed for den@tel.pro from 10.4.210.37. LOGIN: Authentication failed. in /opt/www/roundcubemail-1.3.0/program/lib/Roundcube/rcube_imap.php on line 196 (POST /?_task=login&_action=login)

INFO [roundcube-iredmail] Ignore 10.4.210.37 by ip

однако если в этот момент посмотреть

fail2ban-client status roundcube-iredmail

Код: [Выделить]

Status for the jail: roundcube-iredmail
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     0
|  `- File list:        /var/log/mail.log
`- Actions
   |- Currently banned: 0
   |- Total banned:     0
   `- Banned IP list:все jail

Код: [Выделить]

fail2ban-client status
Jail list:   apache-auth, dovecot-iredmail, postfix-iredmail, postfix-sasl, roundcube-iredmail, sogo-iredmail, sshd, sshd-ddosи никак не могу понять откуда он берет количество попыток и время блокировки?

Код: [Выделить]

/etc/fail2ban/jail.conf
[INCLUDES]
#before = paths-distro.conf
before = paths-debian.conf
[DEFAULT]

ignoreip = 127.0.0.1/8

ignorecommand =

bantime  = 600

findtime  = 600

maxretry = 5
backend = auto
usedns = warn
logencoding = auto
# "enabled" enables the jails.
#  By default all jails are disabled, and it should stay this way.
#  Enable only relevant to your setup jails in your .local or jail.d/*.conf
#
# true:  jail will be enabled and log files will get monitored for changes
# false: jail is not enabled
enabled = false
filter = %(__name__)s
banaction = iptables-multiport

action_ = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mw = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
            %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s", chain="%(chain)s"]

action_mwl = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

action_xarf = %(banaction)s[name=%(__name__)s, bantime="%(bantime)s", port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             xarf-login-attack[service=%(__name__)s, sender="%(sender)s", logpath=%(logpath)s, port="%(port)s"]

action_cf_mwl = cloudflare[cfuser="%(cfemail)s", cftoken="%(cfapikey)s"]
                %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]

action_blocklist_de  = blocklist_de[email="%(sender)s", service=%(filter)s, apikey="%(blocklist_de_apikey)s"]

action_badips = badips.py[category="%(name)s", banaction="%(banaction)s"]

action = %(action_)s

[sshd]
port    = ssh
logpath = %(sshd_log)s
.......
[roundcube-auth]
port     = http,https
logpath  = logpath = %(roundcube_errors_log)s

Код: [Выделить]

/etc/fail2ban/jail.d/roundcube.local
[roundcube-iredmail]
enabled     = true
filter      = roundcube.iredmail
action      = iptables-multiport[name=roundcube, port="http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve", protocol=tcp]
logpath     = /var/log/mail.log
findtime    = 3600
вроде бы должно блокироваться на 10 минут через 5 неправильных попыток, однако...
всю голову сломал.
куда еще посмотреть?
 
да. время на сервере идет правильно.

ТС не появлялся на Форуме более полугода по состоянию на 17/07/2019 (последняя явка: 12/12/2018). Модератором раздела принято решение закрыть тему.
--zg_nico

[blank]

с этим разобрался, оказалось это rouncube задержку дает, а в fail2ban сеть из которой я тестировал была в игнорируемых.
теперь fail2ban срабатывает, но в лог вываливается странная ошибка

Код: [Выделить]

Nov  2 20:52:20 mail fail2ban.filter[1475]: WARNING Unable to find a corresponding IP address for #: [Errno -2] Name or service not known как понять что это за фильтр [1475], что за адрес #?
вот лог около этого события

Код: [Выделить]

Nov  2 20:52:20 mail roundcube: <cf2ipf5e> IMAP Error: Login failed for den@tel.pro from 10.4.210.41. LOGIN: Authentication failed. in /opt/www/roundcubemail-1.3.0/program/lib/Roundcube/rcube_imap.php on line 196 (POST /?_task=login&_action=login)
Nov  2 20:52:20 mail fail2ban.filter[1475]: WARNING Unable to find a corresponding IP address for #: [Errno -2] Name or service not known
Nov  2 20:52:20 mail fail2ban.filter[1475]: INFO [roundcube-iredmail] Found 10.4.210.41
Nov  2 20:52:20 mail fail2ban.filter[1475]: INFO [dovecot-iredmail] Ignore 127.0.0.1 by ip
Nov  2 20:52:20 mail fail2ban.actions[1475]: NOTICE [roundcube-iredmail] Ban 10.4.210.41