Назад | Перейти на главную страницу

Загрузка правил fail2ban в iptables с помощью iptables-persistent

Я использую пакет iptables-persistent для перезагрузки iptables при загрузке. И я подумал, стоит ли добавлять правила fail2ban в загруженный файл конфигурации? Теперь я вижу, что они дублируются.

Это моя конфигурация брандмауэра:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:fail2ban-ssh - [0:0]

-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh

# Accepts SSH connection
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# HTTP
-A INPUT -p tcp --dport 80 -j ACCEPT

# SSH
-A INPUT -p tcp --dport 22 -j ACCEPT

# MariaDB (private network)
-A INPUT -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT

# loopback device
-I INPUT 1 -i lo -j ACCEPT

# Allow ping
-A INPUT -p icmp -j ACCEPT

# Drops all remaining traffic
-A INPUT -j DROP

-A fail2ban-ssh -j RETURN

COMMIT

Строки fail2ban дублируются, когда я перезагружаюсь и запускаю iptables -S:

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j DROP
-A fail2ban-ssh -j RETURN
-A fail2ban-ssh -j RETURN

Так следует ли мне удалить эти две строки fail2ban из моей конфигурации?

Не беспокойся. fail2ban сохраняет собственное состояние и при перезапуске воссоздает свои правила брандмауэра.