Я использую IPTables и Fail2Ban, чтобы остановить некоторые базовые DDoS-атаки. Таблицы работают нормально, fail2ban тоже. Проблема в журнале iptables, он слишком велик с 10-минутной атакой (журнал 57 МБ). Анализируя журнал, я вижу, что IP-адреса регистрируются даже после бана. Мне нужно было бы найти способ прекратить регистрацию после того, как IP-адрес заблокирован fail2ban. Соответствующая информация: я использую proxmox, и правила применяются к группе межсетевого экрана.
IPTables для регистрации:
-A GROUP-global-IN -p tcp -m connlimit --connlimit-above 15 --connlimit-mask 32 --connlimit-saddr -j LOGGING
-A GROUP-global-IN -p tcp -m conntrack --ctstate NEW -m limit --limit 30/m --limit-burst 20 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-global-IN -p tcp -m conntrack --ctstate NEW -j LOGGING
-A GROUP-global-IN -p tcp -m tcp --dport 55900:55990 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-global-IN -p tcp -m tcp --dport 44400:44450 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-global-IN -p udp -m udp --dport 3389 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-global-IN -p tcp -m tcp --dport 3389 -g PVEFW-SET-ACCEPT-MARK
-A GROUP-global-IN -m comment --comment "PVESIG:KKZyJB9Ae6H5jj8mY0mkA9ERbHM"
-A GROUP-global-OUT -j MARK --set-xmark 0x0/0x80000000
-A GROUP-global-OUT -m comment --comment "PVESIG:M5Q45RnzRGd74WrDqXf6Jx1nDUQ"
-A LOGGING -j LOG --log-prefix "IPTables DOS: "
-A LOGGING -j DROP
Я получаю IP-адреса с 63k совпадениями в iptables.log (пример):
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Aug 2 17:39:55 IPTables DOS: IN=fwbr101i0 OUT=fwbr101i0 PHYSIN=fwln101i0 PHYSOUT=tap101i0 SRC=64.227.16.194
Результатом этого также является то же самое в журнале fail2ban и, как следствие, высокая загрузка процессора.
2020-08-02 17:39:46,367 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,367 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,368 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,368 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,368 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,369 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,369 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,369 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,370 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,370 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,371 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46
2020-08-02 17:39:46,371 fail2ban.filter [869]: INFO [iptables-dropped] Found 64.227.16.194 - 2020-08-02 17:39:46