光阴冢 赛博空间的自留地

Fail2ban with Cloudflare

虽然所有的网页都套了 Cloudflare,仍然无法避免一直被扫。看着 nginx log 里的一大堆 40X Errors,又看了看 fail2ban-client status sshd 中那一大堆因为尝试爆破 SSH 密码而被 ban 的的 IP,决定抽空把这些恶意爬虫处理一下。

获取真实访问者的 IP

因为网页在 Cloudflare 免费计划的保护下,未经配置的 nginx 默认获取到的 IP 显然是 Cloudflare 的 IP。当然,作为成熟的商业公司, Cloudflare 已经提供了有关如何恢复原始访问者 IP 的详细指南

简单按照自己的 Web Server 配置一下即可。

使用 fail2ban 的内置 filter

fail2ban 本身内置了很多 filter 可以应用于读取 Web 服务器输出的 log,并按照规则进行处理。例如处理 basic auth 的 nginx-http-auth,nginx-badbots,nginx-noscript 等等。一般都位于 /etc/fail2ban/filter.d/ 的目录下。 如果想要对其中的内容进行修改,只需要新建一个 ${name}.local 的文件即可将 ${name}.conf 的文件按需覆盖。当然也可以自己新建新的过滤器。

使用 fail2ban-regex 可以对 filter 中的配置进行测试。例如:

1
fail2ban-regex /var/log/nginx/error.log /etc/fail2ban/filter.d/webexploits.conf -D

如果觉得匹配得还算满意,就可以进入下一步了。

联动 Cloudflare

在获取到违规的 IP 之后,就需要进行处理,在 fail2ban 的名词中称作 action。对应地,一大堆文件都在 /etc/fail2ban/action.d/ 下面等待人们来使用。常用的有 iptables,各种防火墙等等。由于目的是想要不让这些 IP 来访问Cloudflare 保护的网页,仅在本机上配置是不够的,还需要告诉 Cloudflare 不要接受他们的请求。

cloudflare.conf 就是用来做这件事的。只要编辑相关文件(cloudflare.local),填写上自己的 cftoken 和 cfuser (Email)就可以了。

至此,再编辑 /etc/fail2ban/jail.local 将这些 filter 启用,配置好对应的触发阈值和行为,重启 fail2ban 服务,就可以看到那么一大堆的 IP 全部都被 ban 掉了。真舒服。

手动处理个别 IP

有时候,有些漏网之鱼,单独写个规则又麻烦。不如直接 ban 掉。

fail2ban-client set ${filtername} banip ${ip}

误报率

测试下来,通过 nali-cli 看了一下归属地,似乎还是国内某些地区的 IP 坏访问更多一点,比搜索引擎的爬虫还要勤快。