今更fail2ban – — kenti.jp — そんなわけで。

海外からの変なアタックが多いのでPostfixログが大変なことになったり、DDoSのようなアクセス受けてhttpdが重くなったりといろいろです。

fail2banはもともとVPSでOSをインストールした時点で入っていますが、念の為インストールしておきます。
# dnf install fail2ban

その後、下記を設定しておきます。

/etc/fail2ban/jail.local


[postfix]

mode    = aggressive

port    = smtp,465,submission

logpath = %(postfix_log)s

backend = %(postfix_backend)s
[postfix-rbl]

filter   = postfix[mode=rbl]

port     = smtp,465,submission

logpath  = %(postfix_log)s

backend  = %(postfix_backend)s

maxretry = 1

[sendmail-auth] port = submission,465,smtp logpath = %(syslog_mail)s backend = %(syslog_backend)s

※フィルタリングにはfirewalld等使用していますが、その辺の設定は割愛します。
# systemctl enable fail2ban
# systemctl start fail2ban

その後は、/var/log/fail2ban.logを眺めてみます。
2021-04-21 17:51:41,524 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 103.114.***.***
2021-04-21 17:51:41,598 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 103.147.***.***
2021-04-21 17:51:41,637 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 193.169.***.***
2021-04-21 17:59:33,172 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 195.168.***.***
2021-04-21 17:59:33,226 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 37.49.***.***
2021-04-21 18:01:35,286 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 157.230.***.***
2021-04-21 18:01:35,336 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 178.73.***.***
2021-04-21 18:01:35,375 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 192.241.***.***
2021-04-21 18:01:35,413 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 192.241.***.***
2021-04-21 18:01:35,451 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 192.241.***.***
2021-04-21 18:01:35,490 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 199.89.***.***
2021-04-21 18:01:35,534 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 80.82.***.***
2021-04-21 18:01:35,594 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 89.248.***.***
2021-04-21 18:01:35,632 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 93.174.***.***
2021-04-21 21:57:26,621 fail2ban.actions [160025]: NOTICE [postfix-sasl] Ban 18.205.***.***

効いてる効いてる…。