Некоторое время я без проблем использую fail2ban.
На днях я решил остановить fail2ban, чтобы удалить одно правило из моих iptables по умолчанию. Когда я запустил fail2ban, он запустился нормально (по команде: service fail2ban start).
Однако, когда я проверил iptables, я не увидел добавленных цепочек fail2ban. Я проверил журнал fail2ban и обнаружил несколько таких ошибок:
fail2ban.action [32091]: ОШИБКА iptables -w -N f2b- iptables -w -I INPUT -p tcp -m multiport --dports 0: 65535 -j f2b- - stderr: "iptables v1.4.7: option
-w' requires an argument\nTry
iptables -h 'или' iptables --help 'для получения дополнительной информации. \ niptables v1.4.7: опция-w' requires an argument\nTry
iptables -h 'или' iptables --help 'для получения дополнительной информации. \ niptables v1.4.7: опция-w' requires an argument\nTry
iptables -h 'или' iptables --help 'для получения дополнительной информации. \ n "
Из этого журнала кажется, что fail2ban пытается запустить iptables с -w
вариант, которого не существует. Я проверил все файлы конфигурации fail2ban, особенно в каталоге action.d, и нет ни одной строки с -w
вариант. Насколько это странно?
Я понятия не имею, что здесь происходит, и из-за этого я не могу использовать fail2ban.
Я ценю вашу помощь.
В -w
Эта опция отсутствует в вашей версии 1.4.7 iptables, ее использование объясняется в файле /etc/fail2ban/action.d/iptables-common.conf
# Option: lockingopt
# Notes.: Option was introduced to iptables to prevent multiple instances from
# running concurrently and causing irratic behavior. -w was introduced
# in iptables 1.4.20, so might be absent on older systems
# See https://github.com/fail2ban/fail2ban/issues/1122
# Values: STRING
lockingopt = -w
У меня возникнет соблазн удалить -w из приведенного выше объявления или даже закомментировать его и посмотреть, что произошло.
Проверьте свой yum.log, чтобы узнать, обновлялся ли fail2ban в последнее время. если да, посмотрите, когда это произошло, и проверьте, не запущено ли в это время задание yumcron.
Лучше всего добавить:
[Инициализация] lockopt =
в /etc/fail2ban/jail.local
описание опции -w:
# Option: lockingopt
# Notes.: Option was introduced to iptables to prevent multiple instances from
# running concurrently and causing irratic behavior. -w was introduced
# in iptables 1.4.20, so might be absent on older systems
# See https://github.com/fail2ban/fail2ban/issues/1122
# Values: STRING
в то время как в centos 6.7 версия iptable - 1.4.7, поэтому она не будет работать.
дополнительная информация здесь:
https://bugzilla.redhat.com/show_bug.cgi?id=1272681 https://github.com/fail2ban/fail2ban/issues/1122