8
Hilfe mit regex bei fail2ban gesucht
Hallo,
ich suche Hilfe mit regex bei fail2ban.
Ja, nicht lachen. Ich kann immer noch kein regex.
Es geht um fail2ban bei einem haproxy.
der macht was er soll, aber es gibt auf dem Zielserver einen Bug, so dass in der Ausgabe immer ein Verweis auf /xxx/xxx/icon.png steht. Die clients versuchen die Datei zu laden, auf dem Server gibt es diese Datei nicht, also gibt es einen 404 Fehler.
Ich brauche also einen ignoreregex -Befehl um /*/icon.png als Ausnahme zu definieren und ich bekomme das nicht hin.
[Definition]
_daemon = haproxy
failregex = .*: <HOST>(?::\d+)?\s+.*\d* (403|404)
ignoreregex = .*: <HOST> - - .*GET .*/icon.png
Mag sich bitte Jemand erbarmen und mir diesen regex schreiben?
Danke
Strefan
ich suche Hilfe mit regex bei fail2ban.
Ja, nicht lachen. Ich kann immer noch kein regex.
Es geht um fail2ban bei einem haproxy.
der macht was er soll, aber es gibt auf dem Zielserver einen Bug, so dass in der Ausgabe immer ein Verweis auf /xxx/xxx/icon.png steht. Die clients versuchen die Datei zu laden, auf dem Server gibt es diese Datei nicht, also gibt es einen 404 Fehler.
Ich brauche also einen ignoreregex -Befehl um /*/icon.png als Ausnahme zu definieren und ich bekomme das nicht hin.
[Definition]
_daemon = haproxy
failregex = .*: <HOST>(?::\d+)?\s+.*\d* (403|404)
ignoreregex = .*: <HOST> - - .*GET .*/icon.png
Mag sich bitte Jemand erbarmen und mir diesen regex schreiben?
Danke
Strefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 52834804354
Url: https://administrator.de/contentid/52834804354
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Also der regex sieht eigentlich passabel aus. Ich hätte ihn vermutlich erstmal stark vereinfacht, ohne Vars für Host und so . ziemlich allgemein getestet.
Aber viel interessanter wäre doch wie man den "Bug" auf dem Zielserver beheben kann oder?
Aber viel interessanter wäre doch wie man den "Bug" auf dem Zielserver beheben kann oder?
Zitat von @bloodstix:
Also der regex sieht eigentlich passabel aus. Ich hätte ihn vermutlich erstmal stark vereinfacht, ohne Vars für Host und so . ziemlich allgemein getestet.
Funktioniert aber nicht Also der regex sieht eigentlich passabel aus. Ich hätte ihn vermutlich erstmal stark vereinfacht, ohne Vars für Host und so . ziemlich allgemein getestet.
Aber viel interessanter wäre doch wie man den "Bug" auf dem Zielserver beheben kann oder?
Die Software ist von einem externen Anbieter und die wollen sich in den nächsten Wochen darum kümmern.Da ich die nächsten Wochen nicht täglich mehrere IPs entsperren möchte....
Ja funktioniert nicht ist schnell gesagt ^^ Wir versuchen hier ja nur zu helfen. Dafür sind Infos notwendig.
Ich denke es wäre vllt hilfreich wenn du mal ein Beispiel für nen String hast der durch das fail2ban gerasselt ist. Dann kann man mal den regex gegen den Verdächtigen prüfen.
Grüße
bloody
Ich denke es wäre vllt hilfreich wenn du mal ein Beispiel für nen String hast der durch das fail2ban gerasselt ist. Dann kann man mal den regex gegen den Verdächtigen prüfen.
Grüße
bloody
Hallo,
und wenn du solange, bis der Bug behoben ist, an der Stelle eine Datei „icon.png“ erstellst? Dann kann die Anfrage bedient werden. Das brauch ja nur ein 1x1-Pixel zu sein, oder ein Link auf eine schon bestehende „icon.png“ auf dem Server…
Gruß
TA
und wenn du solange, bis der Bug behoben ist, an der Stelle eine Datei „icon.png“ erstellst? Dann kann die Anfrage bedient werden. Das brauch ja nur ein 1x1-Pixel zu sein, oder ein Link auf eine schon bestehende „icon.png“ auf dem Server…
Gruß
TA
Stimme zu wär ein "workaround" ... aber ich lös die Probleme lieber an der Wurtzel
Aber ich glaub der Server findet nix weil der schon komisch eingestellt ist.
Aber ich glaub der Server findet nix weil der schon komisch eingestellt ist.
Zitat von @bloodstix:
Ja funktioniert nicht ist schnell gesagt ^^ Wir versuchen hier ja nur zu helfen. Dafür sind Infos notwendig.
Ich denke es wäre vllt hilfreich wenn du mal ein Beispiel für nen String hast der durch das fail2ban gerasselt ist. Dann kann man mal den regex gegen den Verdächtigen prüfen.
Ja funktioniert nicht ist schnell gesagt ^^ Wir versuchen hier ja nur zu helfen. Dafür sind Infos notwendig.
Ich denke es wäre vllt hilfreich wenn du mal ein Beispiel für nen String hast der durch das fail2ban gerasselt ist. Dann kann man mal den regex gegen den Verdächtigen prüfen.
Der Regex-Teil funktioniert, aber Fail2ban ignoriert den Teil schlicht nicht.
Ich weiß halt nicht ob ignoreregex anders formatiert sein muss. Dazu gibt es kaum Beispiele.
Zitat von @TwistedAir:
und wenn du solange, bis der Bug behoben ist, an der Stelle eine Datei „icon.png“ erstellst? Dann kann die Anfrage bedient werden. Das brauch ja nur ein 1x1-Pixel zu sein, oder ein Link auf eine schon bestehende „icon.png“ auf dem Server…
Ich kann auf dem Server gar nichts machen.und wenn du solange, bis der Bug behoben ist, an der Stelle eine Datei „icon.png“ erstellst? Dann kann die Anfrage bedient werden. Das brauch ja nur ein 1x1-Pixel zu sein, oder ein Link auf eine schon bestehende „icon.png“ auf dem Server…
Aber das brachte mich auf eine andere Idee.
Ich habe nun in HAProxy eine neue Regel (ACL) erstellt die diese Anfrage gar nicht erst zum Server schickt sondern sofort mit einem 503 beantwortet. 503 weil dieser Fehler im Proxy nicht konfiguriert ist weil der Server diesen Code nicht erzeugen kann.
Stefan
