Кто-нибудь успешно работает fail2ban на CentOS 7 и подскажите, как это сделать?
Я пытался установить fail2ban с участием yum install fail2ban и запустите его (в iptables -L что кажется странным, если судить по тому, что я нашел в сети).
Как только я перезагружаю сервер, я не могу войти в систему как root или другой пользователь через ssh. Порты не видны при сканировании, и, конечно, я получаю эту ошибку, когда пытаюсь подключиться:
ssh: connect to host XXX.XXX.XXX.XXX port 12321: Connection refused
Я изменил порт ssh, но безуспешно пробовал и с портом 22.
Интересно, знает ли кто-нибудь решение этой проблемы?
Это должна быть проблема с fail2ban потому что больше ничего не устанавливал.
ОБНОВЛЕНИЕ После перезагрузки я могу войти в систему по ssh. Но HTML-страница не обслуживается. Выход iptables -L:
Цепочка INPUT (policy ACCEPT) target prot opt source
destination f2b-sshd tcp - в любом месте в любом месте многопортовый dports ssh ПРИНЯТЬ все - где угодно где угодно ctstate СВЯЗАННЫЕ, УСТАНОВЛЕННЫЕ ПРИНЯТЬ все - где угодно
где угодно INPUT_direct all - где угодно
где угодно INPUT_ZONES_SOURCE все - где угодно
везде INPUT_ZONES все - где угодно
везде ПРИНЯТЬ icmp - где угодно и где угодно ОТКРЫТЬ все - где угодно и где угодно
отклонить с помощью icmp-host -hibitedЦепочка FORWARD (policy ACCEPT) target prot opt source
пункт назначения ПРИНЯТЬ все - где угодно и где угодно ctstate СВЯЗАН, УСТАНОВЛЕН ПРИНЯТЬ все - где угодно
везде FORWARD_direct все - куда угодно
везде FORWARD_IN_ZONES_SOURCE все - где угодно
везде FORWARD_IN_ZONES все - где угодно
везде FORWARD_OUT_ZONES_SOURCE все - где угодно
везде FORWARD_OUT_ZONES все - где угодно
везде ПРИНЯТЬ icmp - где угодно и где угодно ОТКРЫТЬ все - где угодно и где угодно
отклонить с помощью icmp-host -hibitedЦепочка OUTPUT (policy ACCEPT) target prot opt source
назначение OUTPUT_direct все - куда угодно
вездеЦепочка FORWARD_IN_ZONES (1 ссылка) источник целевой прибыли
пункт назначения FWDI_public все - где угодно
где угодно [goto] FWDI_public all - где угодно
где угодно [goto]Цепочка FORWARD_IN_ZONES_SOURCE (1 ссылка) target prot opt source destination
Цепочка FORWARD_OUT_ZONES (1 ссылка) источник целевой прибыли
пункт назначения FWDO_public все - где угодно
где угодно [goto] FWDO_public all - где угодно
где угодно [goto]Цепочка FORWARD_OUT_ZONES_SOURCE (1 ссылка) target prot opt source destination
Цепочка FORWARD_direct (1 ссылка) источник целевой prot opt
место назначенияЦепочка FWDI_public (2 ссылки) target prot opt source
назначение FWDI_public_log all - где угодно
где угодно FWDI_public_deny all - где угодно
где угодно FWDI_public_allow all - где угодно
вездеЦепочка FWDI_public_allow (1 ссылки) источник целевой prot opt
место назначенияЦепочка FWDI_public_deny (1 ссылок) источник целевой prot opt
место назначенияЦепочка FWDI_public_log (1 ссылка) источник целевой prot opt
место назначенияЦепочка FWDO_public (2 ссылки) target prot opt source
назначение FWDO_public_log все - где угодно
где угодно FWDO_public_deny all - где угодно
где угодно FWDO_public_allow all - где угодно
вездеЦепочка FWDO_public_allow (1 ссылок) источник целевой prot opt
место назначенияЦепочка FWDO_public_deny (1 ссылки) источник целевой prot opt
место назначенияЦепочка FWDO_public_log (1 ссылка) источник целевой prot opt
место назначенияЦепочка INPUT_ZONES (1 ссылка) источник целевой прибыли
назначение IN_public все - где угодно [goto] IN_public все - где угодно и где угодно
[перейти к]Цепочка INPUT_ZONES_SOURCE (1 ссылка) источник целевой prot opt
место назначенияЦепочка INPUT_direct (1 ссылок) target prot opt source
место назначенияЦепочка IN_public (2 ссылки) target prot opt source
назначение IN_public_log all - где угодно
где угодно IN_public_deny all - где угодно
везде IN_public_allow all - где угодно
вездеЦепочка IN_public_allow (1 ссылка) источник целевой prot opt
назначение ПРИНЯТЬ tcp - в любом месте tcp dpt: ssh ctstate NEWЦепочка IN_public_deny (1 ссылка) источник целевой prot opt
место назначенияЦепочка IN_public_log (1 ссылка) источник целевой prot opt
место назначенияЦепочка OUTPUT_direct (1 ссылок) источник целевой prot opt
место назначенияЦепочка f2b-sshd (1 ссылок) target prot opt source
пункт назначения ВОЗВРАТ ВСЕ - в любом месте
Я установил ~ 20 серверов CentOS 7 с fail2ban прямо из коробки, а конфигурация по умолчанию очень открыта, поэтому «соединение отклонено» появляется только после 5 неудачных попыток входа в систему.
CentOS 7 теперь использует firewalld, но правило для ssh (22) установлено по умолчанию. Если вы измените порт ssh в sshd_config, вам также необходимо настроить правило firewalld, то есть:
firewall-cmd --zone=public --add-port=12321/tcp --permanent
Не забудьте бежать firewall-cmd --reload после изменения конфигурации.
Лучше просто протестируйте новую переустановку CentOS, установите fail2ban, перезапустите, и я не вижу причин, по которым вы не можете войти в систему, если это работало раньше (убедитесь, что eth0 включен и имеет IP-адрес! Я часто забываю "автоподключение" во время установки)
У интернет-провайдеров, таких как Amazon, есть собственный брандмауэр. Если у вашего интернет-провайдера есть эта услуга, вам нужно открыть там свой IP-адрес, чтобы пройти.