linuxdv-static/articles/2016/03/17/f2b/index.markdown

---
tags: devel, репост
title: Новый проект - f2b, легковесная замена fail2ban
---

Идея "переписать fail2ban" периодически приходила в голову.
Хоть они и пишут, что "кроме питона ничего не надо", но сам по себе питон тянет уже дохрена всего.

Кроме того, на типовой роутер fail2nan вкорячить конечно можно, но места под что-либо другое уже не хватит.

---

В типовом роутере с openwrt на его 4Мб ROM остаётся максимум 700кб свободного места (это без нифига),
и ~350 - с вебмордой и минимумом софта. Тулить туда "всего лишь питон" - затея изначально дикая.

Потребление памяти: RES - 8Mb, VIRT - 400Mb, а у роутера - всего 16-32Мб. "Точно-точно будет работать?"

**Возможности**:

Сейчас оно умеет 2 типа регекспов (posix/pcre), через подгружаемые модули и (пока) 1 backend -
exec (выполнение одной или нескольких произвольных команд на указанное действие).

Коллекция паттернов пока небогатая, но легко портируется.

Документации сейчас почти нет, ни отдельной, ни в виде doxygen'а, но будет.

Исходники брать тут: [f2b](https://git.linuxdv.org/ad_user/f2b)

В планах: перечитывание конфига, backend для redis, backend для ipset (через библиотеку),
источник-данных-как-модуль (сейчас - только файлы), простенький клиент для конфигурации на лету, без рестарта.

Также есть мысль добавить своеобразный teaming на базе igmp.
Чтобы забаненный на одном хосте, также банился и на остальных.
Впринципе, этого можно добиться и через тот же redis.

Справедливости ради, упомяну ещё похожую софтину - [sshguard](http://sshguard.sourceforge.net).
С ней проблема в том, что там команды бана/разбана хардкодятся при компиляции,
а сама она ориентирована на "обнаружение атак" ))).

Причём сам "детектор" написан на yacc/lex, что-то там поправить - это просто верх удобства,
по сравнению с обычным файликом со списком регекспов.
Ну и опять же - работает только с файлами.
+ /articles/2016/03/17/f2b/ 8 years ago			`---`
			`tags: devel, репост`
			`title: Новый проект - f2b, легковесная замена fail2ban`
			`---`

			`Идея "переписать fail2ban" периодически приходила в голову.`
			`Хоть они и пишут, что "кроме питона ничего не надо", но сам по себе питон тянет уже дохрена всего.`

			`Кроме того, на типовой роутер fail2nan вкорячить конечно можно, но места под что-либо другое уже не хватит.`

			`---`

			`В типовом роутере с openwrt на его 4Мб ROM остаётся максимум 700кб свободного места (это без нифига),`
			`и ~350 - с вебмордой и минимумом софта. Тулить туда "всего лишь питон" - затея изначально дикая.`

			`Потребление памяти: RES - 8Mb, VIRT - 400Mb, а у роутера - всего 16-32Мб. "Точно-точно будет работать?"`

			`Возможности:`

			`Сейчас оно умеет 2 типа регекспов (posix/pcre), через подгружаемые модули и (пока) 1 backend -`
			`exec (выполнение одной или нескольких произвольных команд на указанное действие).`

			`Коллекция паттернов пока небогатая, но легко портируется.`

			`Документации сейчас почти нет, ни отдельной, ни в виде doxygen'а, но будет.`

* chg git links: new code hosting 6 years ago			`Исходники брать тут: [f2b](https://git.linuxdv.org/ad_user/f2b)`
+ /articles/2016/03/17/f2b/ 8 years ago
			`В планах: перечитывание конфига, backend для redis, backend для ipset (через библиотеку),`
			`источник-данных-как-модуль (сейчас - только файлы), простенький клиент для конфигурации на лету, без рестарта.`

			`Также есть мысль добавить своеобразный teaming на базе igmp.`
			`Чтобы забаненный на одном хосте, также банился и на остальных.`
			`Впринципе, этого можно добиться и через тот же redis.`

			`Справедливости ради, упомяну ещё похожую софтину - [sshguard](http://sshguard.sourceforge.net).`
			`С ней проблема в том, что там команды бана/разбана хардкодятся при компиляции,`
			`а сама она ориентирована на "обнаружение атак" ))).`

			`Причём сам "детектор" написан на yacc/lex, что-то там поправить - это просто верх удобства,`
			`по сравнению с обычным файликом со списком регекспов.`
			`Ну и опять же - работает только с файлами.`