В широком контексте я хочу, чтобы брандмауэр (pf) мог блокировать определенные IP-адреса от доступа к веб-сайту.
я первый восстановить исходный IP в логах веб-сервера (Nginx). Затем я использую fail2ban для блокировки определенных IP-адресов. IP-адреса правильно добавляются в таблицы и не могут выполнять ssh-запросы. Но они все еще могут получить доступ к веб-сайтам. Это потому, что во входящих запросах брандмауэр видит IP-адреса Cloudflare, а не исходные IP-адреса. Только веб-сервер может восстановить исходный IP-адрес. Так что блокировка происходит, когда я отключаю кеширование Cloudflare. В иерархии сначала идет Cloudflare, затем брандмауэр, затем nginx, затем fail2ban.
Я хочу, чтобы оскорбительные IP-адреса были заблокированы на уровне брандмауэра, без доступа к веб-серверу. Есть ли способ сделать это - заблокировать вредоносные IP-адреса на уровне брандмауэра?