Fail2Ban 配置实战：防御Coturn服务的异常连接攻击

背景介绍

Coturn作为一款开源的TURN/STUN服务器，广泛应用于WebRTC等实时通信场景中。在实际部署中，Coturn服务器经常会遇到大量异常连接尝试，这些连接可能来自扫描器、恶意攻击者或配置错误的客户端。Fail2Ban作为一款轻量级的入侵防御工具，可以有效识别并阻止这类异常行为。

问题分析

通过分析Coturn日志文件（/var/log/coturn/coturn.log），我们发现大量"Connection reset by peer"错误信息，这些错误通常表示客户端异常断开了连接。虽然部分情况可能是网络不稳定导致的，但频繁出现这类错误往往预示着扫描或攻击行为。

典型日志条目如下：

590556: : ERROR: session 001000000000000026: TLS/TCP socket error: Connection reset by peer 87.236.176.180:39497
590589: : ERROR: session 002000000000000036: TLS/TCP socket error: Connection reset by peer 87.236.176.173:44935

解决方案

1. 基础配置

Fail2Ban需要正确解析Coturn日志中的IP地址。由于Coturn日志不包含时间戳，我们需要特殊配置：

[coturn]
backend = auto
enabled = true
port = 5349
protocol = tcp
filter = 
failregex = ^\s*\d+: : ERROR: session \w+: [A-Z/]+ socket error: Connection reset by peer <ADDR>:\d+
datepattern = {NONE}
logpath = /var/log/coturn/coturn.log

关键点说明：

• datepattern = {NONE}：告诉Fail2Ban日志中没有时间戳
• 正则表达式匹配各种协议（TLS/TCP）的连接重置错误
• <ADDR>是Fail2Ban的特殊标记，表示IP地址位置

2. 智能封禁策略

为避免误封正常用户，推荐使用渐进式封禁策略：

bantime = 1m
bantime.increment = true
bantime.maxtime = 5w
maxretry = 3
findtime = 1h

策略优势：

• 首次违规仅封禁1分钟
• 重复违规时封禁时间自动延长
• 最大封禁时间限制为5周
• 1小时内3次违规才会触发封禁

3. 正则表达式详解

核心匹配模式分解：

• ^\s*\d+:：匹配日志行开头的数字（可能是进程ID）
• ERROR: session \w+:：匹配错误会话标识
• [A-Z/]+ socket error:：匹配各种协议类型（TLS/TCP）
• <ADDR>:\d+：提取IP地址和端口号

实施建议

1. 测试配置：使用fail2ban-regex工具预先测试规则有效性
2. 监控调整：初期密切观察封禁日志，确保没有误封
3. 日志轮转：配置logrotate防止日志文件过大
4. 多维度防御：结合防火墙规则增强防护

总结

通过合理配置Fail2Ban，我们可以有效保护Coturn服务免受异常连接干扰。渐进式封禁策略在保证安全性的同时，最大程度减少了误封风险。这套方案不仅适用于Coturn，其设计思路也可借鉴到其他无时间戳日志的服务防护中。