Настройка Fail2ban для Kerio Connect

Kerio Connect установлен в данном примере на Ubuntu.

Устанавливаем fail2ban:

sudo apt update
sudo apt install fail2ban

Прописываем набор правил:

sudo nano /etc/fail2ban/jail.local

[DEFAULT]
# Игнорируем свои доверенные IP (white list)
ignoreip = 192.168.0.0/16

[kerio-connect]
enabled = true
filter = kerio-connect
logpath = /media/data/store/logs/security.log
backend = auto
maxretry = 3
findtime = 10m
bantime = 1h
banaction = iptables-multiport
port = smtp,ssmtp,submission

Определяем как нам вычислять атаки из журнала security.log :

sudo nano /etc/fail2ban/filter.d/kerio-connect.conf

[Definition]
failregex = ^.*SMTP: User .* doesn't exist\\. Attempt from IP address <HOST>\\.$
ignoreregex =

Перезагружаем сервис fail2ban, включаем и смотрим статус:

sudo systemctl restart fail2ban sudo systemctl enable fail2ban sudo systemctl status fail2ban

#смотрим статус заданий
sudo fail2ban-client status

#смотрим забаненные IP
sudo fail2ban-client status kerio-connect

Посмотреть детали по одному из IP:

sudo fail2ban-client get kerio-connect baninfo <IP>

Разблокировать IP:

sudo fail2ban-client set kerio-connect unbanip <IP>