Раньше у меня была CentOS 6.5 с Iptables, и я настраивал некоторые тюрьмы для nginx, как предлагается здесь: Как использовать fail2ban для Nginx?.
Но теперь я использую CentOS 7, пытаясь использовать новый брандмауэр и последнюю версию fail2ban. Я знаю, что есть новый firewallcmd-ipset.conf. Но мне интересно, как код приведенной выше ссылки должен быть адаптирован к новому брандмауэру и новому файлу fail2ban.
Смотреть firewallcmd-ipset.conf кажется, он также ожидает переменных port и name. Так что, может быть, это так же просто, как заменить iptables-multiport по firewallcmd-ipset.
Мысли?
Заранее спасибо,
Вам не нужно ничего менять. В CentOS 7 конфигурация по умолчанию уже будет включать бит конфигурации для установки запрета fail2ban на firewallcmd-ipset. Это в fail2ban-firewalld пакет, который должен быть установлен автоматически.
Вам нужно только убедиться, что вы не переопределили banaction где-нибудь еще в вашей конфигурации.
FirewallD - это просто оболочка iptables, которая упрощает управление вашими правилами. Однако, IMHO, Firewalld лучше для среды рабочей станции, чем для среды сервера. Таким образом, я рекомендую вам systemctl следующее действие
disable FirewallD
mask Firewalld
enable iptables
Затем положите связанные iptables действие в вашем jail.local
В моем предыдущем опыте использования конфигурации firewalld в fail2ban я обнаружил, что конфигурация не перезагружает frewalld, что означает активацию правил, добавленных fail2ban.
Когда я firewall-cmd --reload вручную, все недопустимые IP-адреса, записанные fail2ban, отображаются в firewall-cmd --list-all
В этом случае, используя iptables ваш более быстрый выбор или вы можете изменить firewalld-xxxxx настраивает.