Hallo Robert,
Am 03.02.2013 17:14, schrieb Robert Schetterer:
Gefällt mir gut und passt auch ziemlich genau zu meiner Lösung mit syslog-ng. Auch wenn ich dabei keine Pipe brauche, sondern die IP direkt die Firewall eintragen kann. K.A. ob rsyslog das auch kann.
Hi Florian, direkt ist natuerlich der Koenigsweg wir haben das damals aus Zeitmangel nicht getestet wobei ein script das eine pipe liest evtl auch noch die Moeglichkeit gibt zusaetzlich etwas einzubinden ,wenn gewuenscht
Ich verwende Scripts nur für andere Bans, um dadurch eine Whitelist realisieren zu können. Das läuft dann aber nicht über eine Pipe, sondern ein Script wird dazu von syslog-ng aufgerufen. Einen Grund gibts dafür allerdings nicht, das ist historisch so gewachsen. ;)
Der Vorteil an der Lösung syslogd/recent ist m.E. dass sich darüber schneller als über fail2ban blocken lässt. Zumal f2b doch arg Last produziert, wenn zu viele Logeinträge auflaufen. Ich verwende fast nur noch recent.
Mal schauen, wenn ich es zeitlich schaffe, publiziere ich meinen Ansatz am Montag.
wuerde mich sehr freuen, mir ist voellig klar das mein Ansatz bei weitem nicht perfekt war , aber er ist fuer diesen Einzelfall gut genug gewesen
Unsere Ansätze unterscheiden sich m.E. nicht wesentlich.
Ich hab das mal hier gepostet: http://blog.schaal-24.de/?p=1626
Ich blocke solche IP aber für max. 6 Stunden über die Firewall. Das reicht hier in den meisten Fällen.
ist bei mir nicht der Fall, ich hatte das schon vorher getestet, nicht mal 24 h waren genug, im Einzelfall, wobei bei mir die pure Masse das Hauptproblem darstellt, ich konnte eigentlich nur eine Besonderheit feststellen, die Bots werden regelmaessig noch massiver am Freitag relativ punktlich zum Ende der europaeischen Buerozeit, warum auch immer
Ich hab das noch in zeitliche Relationen gesetzt. Das wäre wohl auch eher ein nice-to-know. Ich kann ja schlecht die Firewall o.ä. in Abhängigkeit irgendwelcher Bots gestalten - das wäre ja ein Fass ohne Boden.
Gruß Florian