Я использую пакет iptables-persistent для перезагрузки iptables при загрузке. И я подумал, стоит ли добавлять правила fail2ban в загруженный файл конфигурации? Теперь я вижу, что они дублируются.
Это моя конфигурация брандмауэра:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
# Accepts SSH connection
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# HTTP
-A INPUT -p tcp --dport 80 -j ACCEPT
# SSH
-A INPUT -p tcp --dport 22 -j ACCEPT
# MariaDB (private network)
-A INPUT -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT
# loopback device
-I INPUT 1 -i lo -j ACCEPT
# Allow ping
-A INPUT -p icmp -j ACCEPT
# Drops all remaining traffic
-A INPUT -j DROP
-A fail2ban-ssh -j RETURN
COMMIT
Строки fail2ban дублируются, когда я перезагружаюсь и запускаю iptables -S:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh -j RETURN
Так следует ли мне удалить эти две строки fail2ban из моей конфигурации?
Не беспокойся. fail2ban сохраняет собственное состояние и при перезапуске воссоздает свои правила брандмауэра.