Hallo,
Ich versuche, Brute Force Login Versuche auf meiner Roundcube Webseite zu unterbinden. Dafür möchte ich fail2ban nutzen. Bisher schaffe ich es nur, Imap logins über dovecot zu filtern. Sagen wir, ein user "testuser" möchte sich im Roundcube Frontend via Brute Force einloggen. Seine puplic IP sei 80.111.100.1 und meine Server public IP sei 70.111.100.1 Roundcube loggt Fail Attempts etwa so:
[19-Aug-2016 15:01:05 +0200]: <ea7sisp2> IMAP Error: Login failed for testuser from 127.0.0.1. AUTHENTICATE PLAIN: Authentication failed. in /var/www/html/rc/program/lib/Roundcube/rcube_imap.php on line 193 (POST /rc/?_task=login&_action=login)
Leider bekomme ich hier nicht die public IP So sieht es im Dovecot Log aus:
2016-08-19 15:01:05 imap-login: Info: Disconnected (auth failed, 1 attempts in 2 secs): user=<testuser>, method=PLAIN, rip=70.111.100.1, lip=192.168.1.143, TLS, session=<7+xfSmt62gBQgCQz>
Normalerweise banne ich alle auth failed Attempts in diesem Log mit Fail2ban. Allerdings schreibt Roundcube meine Server IP rein, weshalb ich mich selber blocke.
Kann mir jemand helfen?