Итак, я установил fail2ban на своем сервере Debian 7, но все равно меня часто бьют, и я не знаю, почему не блокируется должным образом. Регулярное выражение работает, оно распознает попытки, но кажется, что правила iptables, которые он вставляет, не работают, так выглядит вывод iptables после того, как fail2ban пытается заблокировать.
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 fail2ban-courierauth tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
2 fail2ban-couriersmtp tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
3 sshguard all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain fail2ban-courierauth (1 references)
num target prot opt source destination
1 DROP all -- 216.x.y.z 0.0.0.0/0
2 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-courierimap (0 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-courierpop3 (0 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-couriersmtp (1 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-postfix (0 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-sasl (0 references)
num target prot opt source destination
1 RETURN all -- 0.0.0.0/0 0.0.0.0/0
В приведенных выше таблицах iptables вы можете увидеть правило «Chain fail2ban-courierauth», которое добавило правило отбрасывания для IP, но я все еще могу подключиться !!
Я все еще могу подключиться к серверу, почему он не блокируется?
(Я бы отправил этот в основном запрос о разъяснении в качестве комментария, но у меня пока недостаточно Кармы, чтобы делать комментарии: |)
Рискну заявить очевидное - когда вы говорите, что «все еще можете подключиться к серверу»; ты про 25 порт? Поскольку ваши настроенные правила iptables будут соответствовать (и блокировать) ваш доступ только к порту 25, при условии, что ваше соединение с сервером на порту 25 происходит с IP-адреса 216.x.y.z, который вы указали как заблокированный.
Цепочки iptables, которые у вас есть, настроены примерно так же, как и моя (также с использованием Debian), и моя работа нормально блокирует доступ к определенным службам - поэтому я не думаю, что виновата конфигурация iptables, если вы только ожидаете это просто заблокировать порт 25, а не весь сервер, и у вас нет чего-то странного в PREROUTING, что могло бы отвлекать трафик от обработки во INPUT.