Edition du fichier /etc/fail2ban/jail.local pour mettre ses propres règles.

Exemple pour bannir automatiquement les tentatives de connexion intempestives à postfix (avec une semaine de ban) :

[postfix-auth]
enabled = true
filter = postfix.auth
action = iptables-multiport[name=postfix,port="http,https,smtp,submission,pop3,pop3s,imap,imaps,sieve", protocol=tcp]
logpath = /var/log/mail.log
maxretry = 0
findtime = 604800
bantime = 604800

Le fichier qui gère les règles d’exclusions proprement dites /etc/fail2ban/filter.d/postfix.auth.conf :

[Definition]
failregex = lost connection after (AUTH|UNKNOWN|EHLO) from (.*)\[\]
            connect from unknown(.*)\[\]
ignoreregex =

Pour tester le résultat :

sudo fail2ban-regex /var/log/mail.log /etc/fail2ban/filter.d/postfix.auth.conf

Pour recharger les modifs :

sudo fail2ban-client reload

Pour voir les jails actifs :

sudo fail2ban-client status

Pour voir les IP bannies :

sudo iptables -L

Les logs de Fail2Ban :

sudo tail -f /var/log/fail2ban.log