В настоящее время мой сервер имеет очень строгие правила fail2ban, которые постоянно и постоянно запрещают любой IP-адрес, который не может войти в систему один раз на всех портах. Это может показаться излишним, но большинство портов являются «частными» портами (это означает, что к ним должен иметь доступ только я).
Поскольку на моем сервере работает общедоступный веб-сайт, ips не следует запрещать по HTTP и HTTPS, я также настроил веб-интерфейс, чтобы разблокировать свой IP-адрес на случай, если я заблокирую себя, и тогда мне нужно будет получить доступ.
У меня не так много времени с брандмауэрами и iptables, и в настоящее время я использую action.d/iptables-allports.conf с участием постоянные запреты.
Как я могу настроить действие для запрета IP на всех портах, кроме «общедоступных портов» или запрета IP на всех «частных портах» (учитывая статический список публичных / частных портов)?
Заранее спасибо. -Обзор
Быстрое мышление, вместо того, чтобы не запрещать эти IP-адреса для всех портов, все же пойти и запретить их, но пропустить весь трафик на портах 80 и 443.
Добавьте это правило в iptables, и никто не будет отклонен на портах 80 и 443, даже если в fail2ban они заблокированы.
iptables -I INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT