asterisk 11 fail2ban и Sending fake auth rejection for devic

[gofer_k]

Всем привет уже задолбали меня эти брутфорсеры регулярно наблюдаю в логе вот эту фигню

Код: Выделить всё

[2013-09-15 13:03:29] NOTICE[11105][C-00000004]: chan_sip.c:25081 handle_request_invite: Sending fake auth rejection for device 8000000<sip:8000000@мой внешний ip asterisk>;tag=60415ebd

по этой строчке в логе fail2ban забанить не может так как нет информации об ip этого piдараса
погуглив немного нашел вот это http://www.fail2ban.org/wiki/index.php/Asterisk
в итоге логе получаю вот такие сточки

Код: Выделить всё

[2013-09-15 13:03:29] NOTICE[11105][C-00000005] chan_sip.c: Sending fake auth rejection for device 8000000<sip:8000000@мой внешний ip asterisk>;tag=f66c18ee

а следом

Код: Выделить всё

[2013-09-15 13:03:29] SECURITY[11089] res_security_log.c: SecurityEvent="InvalidAccountID",EventTV="1379235809-756929",Severity="Error",Service="SIP",EventVersion="1",AccountID="9810972597637295",SessionID="0x1a314d8",LocalAddress="IPV4/UDP/мой внешний ip asterisk/5060",RemoteAddress="IPV4/UDP/63.141.249.154/5080"

я так понимаю в res_security_log как раз и фигурирует его ip
теперь вопрос как создать фильтр для fail2ban чтобы он банил эту цуку причем нужно чтобы отсеивались сообшения с пометкой Severity="Informational
а банил только с пометкой Severity="Error

[menzoberronzan]

Думаю regex должен быть таким:

Код: Выделить всё

failregex = SECURITY.*\,Severity=\"Error\".*RemoteAddress=\"IPV4/UDP/<HOST>/

[gofer_k]

Не срабатывает

[menzoberronzan]

Вот правильный, зря запятую экранировал

Код: Выделить всё

failregex = SECURITY.*,Severity=\"Error\".*RemoteAddress=\"IPV4/UDP/<HOST>/

[menzoberronzan]

Вот так можно проверять regexpы:
user@comp:/home$fail2ban-regex 'line' 'regex'

PRIME_BBCODE_SPOILER_SHOW PRIME_BBCODE_SPOILER:

user@comp:/home$ fail2ban-regex '[2013-09-15 13:03:29] SECURITY[11089] res_security_log.c: SecurityEvent="InvalidAccountID",EventTV="1379235809-756929",Severity="Error",Service="SIP",EventVersion="1",AccountID="9810972597637295",SessionID="0x1a314d8",LocalAddress="IPV4/UDP/мой внешний ip asterisk/5060",RemoteAddress="IPV4/UDP/63.141.249.154/5080"' 'SECURITY.*,Severity=\"Error\".*RemoteAddress=\"IPV4/UDP/<HOST>/'

Running tests
=============

Use regex line : SECURITY.*,Severity=\"Error\".*RemoteAddress=\"IPV...
Use single line: [2013-09-15 13:03:29] SECURITY[11089] res_security...

Matched time template Year-Month-Day Hour:Minute:Second
Got time using template Year-Month-Day Hour:Minute:Second

Results
=======

Failregex: 1 total
|- #) [# of hits] regular expression
| 1) [1] SECURITY.*,Severity=\"Error\".*RemoteAddress=\"IPV4/UDP/<HOST>/
`-

Ignoreregex: 0 total

Summary
=======

Addresses found:
[1]
63.141.249.154 (Sun Sep 15 13:03:29 2013)

Date template hits:
2 hit(s): Year-Month-Day Hour:Minute:Second

Success, the total number of match is 1

[gofer_k]

Все ОК заработало спасибо.
Сколько статей про fail2ban читал нигде не видел что так можно проверять regexpы очень удобно.