如何解决Fail2Ban 没有添加 iptables Chain f2b-sshd
我在fail2ban 上部署了一个新的Debian 10 buster,但没有添加任何链式规则,在CentOS 7 上iptables -vnL
显示chain f2b-sshd
,jail.local 配置与另一个Debian 完全相同10,ufw (Uncomplicated Firewall ) 在两个 debian VM 上都启用。默认禁止操作是在 jail.local 中定义的 banaction = iptables-multiport
。我认为这是完全不同的东西,但我想不通!
命令 iptables-save -c
没有显示任何 fail2ban 规则。
...
[41:2404] -A ufw-user-input -p tcp -m multiport --dports 80,443 -m comment --comment "\'dapp_WWW%20Full\'" -j ACCEPT
[0:0] -A ufw-user-input -p tcp -m tcp --dport 20 -j ACCEPT
[0:0] -A ufw-user-input -p tcp -m tcp --dport 21 -j ACCEPT
[2:84] -A ufw-user-input -p tcp -m multiport --dports 40000:50000 -j ACCEPT
[0:0] -A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
[0:0] -A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
[0:0] -A ufw-user-limit-accept -j ACCEPT
COMMIT
# Completed on Mon Jul 26 09:38:22 2021
It should look like this.
...
[127765:5310725] -A ufw-user-input -p tcp -m multiport --dports 40000:50000 -j ACCEPT
[0:0] -A ufw-user-input -p tcp -m multiport --dports 80,443 -m comment --comment "\'dapp_WWW%20Full\'" -j ACCEPT
[0:0] -A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT BLOCK] "
[0:0] -A ufw-user-limit -j REJECT --reject-with icmp-port-unreachable
[0:0] -A ufw-user-limit-accept -j ACCEPT
[79:4748] -A f2b-sshd -s 12.23.45.67/32 -j REJECT --reject-with icmp-port-unreachable
[284:19511] -A f2b-sshd -j RETURN
[2534:242063] -A f2b-AuthFailures -j RETURN
COMMIT
# Completed on Mon Jul 26 09:42:48 2021 ```
解决方法
由于fail2ban 0.10(IPv6支持)fail2ban通过每个监狱的第一个禁令按需执行与actionstart IP-family相关的操作,请参见#1742,因此iptables-multiport仅在第一个IP被禁止时才会创建链f2b-sshd sshd 监狱。
结论,f2b-sshd链只有在第一个IP被禁止时才会输出,之前iptables在第一个IP被禁止之前总是显示空链。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。