fail2ban - перезапустить и проверить заново

Зачем? Будут снова подбирать - снова забанит.

Он и так пробегается по логам. Только он учитывает текущее время. Если время поиска (findtime) все еще удовлетворяет условию - он банит.

При рестарте можно сохранять список бана самостоятельно:

Но fail2ban не будет следить за этими IP и они будут в бане вечно.

Что можно предпринять.. Зависит от сложности ваших правил, но идея такая: перед рестартом достаете забаненных и сохраняете в файл а в fail2ban добавляете правило на мониторинг этого файла.

Однако, особого смысла заморачиваться не вижу. Он их и так забанит при повторе. Да и fail2ban редко рестартуется..

писал правило многострочное, так приходилось перезапускать периодически вручную чтобы он подхватил новые установки.

---------- Добавлено 13.03.2013 в 11:44 ----------

начинаю войну со спамом, пока с бана IP - лезть в конфиг exim пока ссыкотно :(

musitann,

В конфиге отвечающим за action есть такие штуки как

actionstart=

actionstop=

По этому вполне просто сделать так, что бы при включении и выключении файлбана iptables или что там у вас - вообще не шевелился.... а то по умолчанию там предлагается создание собственных правил и следом их наполнение , а при stop так и вовсе удаление этих правил..... я у себя убрал оба екшона вообще... т.е при запуске\остановке fail2ban никаких изменений в файрволе не происходит, а при запуске необходимая таблица уже есть.... но у меня и её нет , так как я блокирую в INPUT обычном.

Вот пример:

$ cat ipfw.conf |grep -vi "^#"

[Definition]
actionstart =
actionstop =
actioncheck =
actionban = ipfw add deny tcp from <ip> to <localhost> <port>
actionunban = ipfw delete `ipfw list | grep -i <ip> | awk '{print $1;}'`

[Init]
port = ssh
localhost = 127.0.0.1

Это пример для ssh/ipfw, вы подстройте под свои нужды.

Гиблое дело.

А как вы IP опеределяете? Вручную? Тогда удачи :)

Если определяет exim, то он пусть и банит, fail2ban'ом можно следить только за нагрузкой

Тогда fail2ban перестанет за ними следить после рестарта (не удалит по таймауту)

ведь всё проще чем кажется, вы путаете наверное fail2ban с munin-подобными

fail2ban - находит по логу IP автоматом и сразу же банит, самостоятельно. Вот моя наработка на сегодня fail2ban exim4 правила конфиг

failregex =	\[<HOST>\] .*(?:relay not permitted|rejected RCPT.*)
		SMTP syntax error in .* \[<HOST>\]
		no host name found for IP .* \[<HOST>\] 
		\[<HOST>\]: 535 Incorrect authentication data
		\[<HOST>\]: 503 connection rejected

банит на дето три дня..

---------- Добавлено 13.03.2013 в 13:06 ----------

Romka_Kharkov, да, у вас выходит вечный бан :) и ручная/полуавтоматическая работа с iptables

Дак вы баните тех, кого почтовик и так не принял. С чего бы стать спаму меньше?

Надо отслеживать спам, который exim пропустил! :)

это лучший ответ, решение

---------- Добавлено 13.03.2013 в 13:10 ----------

согласен )) просто exim больше как почта администратора и спам мне фиолетов пока и не много его. напрягали логи exima типа reject - очереди frozen и тп.... а конфиг exima пока оч страшен для меня - нашёл выход банить через fail2ban ;)

Пока вы настраиваете много спама не пройдет. Так что не стоит парится с восстановелнием правил. Когда все будет настроено - fail2ban не будет рестартоваться.

у меня прикольнее получается - почта с сервера пересылается на mail.ru а они её по умолчанию на спам проверяют и не пропускают всякое г..мно :)

только не выходит ли в их глазах, что сервер мой г..мно шлёт

---------- Добавлено 13.03.2013 в 13:16 ----------

пока я не настраивал очереди росли как на дрожжах