Назад | Перейти на главную страницу

fail2ban.action ERROR iptables -w -N f2b-<jail-name></jail-name>

Некоторое время я без проблем использую fail2ban.

На днях я решил остановить fail2ban, чтобы удалить одно правило из моих iptables по умолчанию. Когда я запустил fail2ban, он запустился нормально (по команде: service fail2ban start).

Однако, когда я проверил iptables, я не увидел добавленных цепочек fail2ban. Я проверил журнал fail2ban и обнаружил несколько таких ошибок:

fail2ban.action [32091]: ОШИБКА iptables -w -N f2b- iptables -w -I INPUT -p tcp -m multiport --dports 0: 65535 -j f2b- - stderr: "iptables v1.4.7: option -w' requires an argument\nTryiptables -h 'или' iptables --help 'для получения дополнительной информации. \ niptables v1.4.7: опция -w' requires an argument\nTryiptables -h 'или' iptables --help 'для получения дополнительной информации. \ niptables v1.4.7: опция -w' requires an argument\nTryiptables -h 'или' iptables --help 'для получения дополнительной информации. \ n "

Из этого журнала кажется, что fail2ban пытается запустить iptables с -w вариант, которого не существует. Я проверил все файлы конфигурации fail2ban, особенно в каталоге action.d, и нет ни одной строки с -w вариант. Насколько это странно?

Я понятия не имею, что здесь происходит, и из-за этого я не могу использовать fail2ban.

Я ценю вашу помощь.

В -w Эта опция отсутствует в вашей версии 1.4.7 iptables, ее использование объясняется в файле /etc/fail2ban/action.d/iptables-common.conf

# Option:  lockingopt
# Notes.:  Option was introduced to iptables to prevent multiple instances from
#          running concurrently and causing irratic behavior.  -w was introduced
#          in iptables 1.4.20, so might be absent on older systems
#          See https://github.com/fail2ban/fail2ban/issues/1122
# Values:  STRING
lockingopt = -w

У меня возникнет соблазн удалить -w из приведенного выше объявления или даже закомментировать его и посмотреть, что произошло.


Проверьте свой yum.log, чтобы узнать, обновлялся ли fail2ban в последнее время. если да, посмотрите, когда это произошло, и проверьте, не запущено ли в это время задание yumcron.

Лучше всего добавить:

[Инициализация] lockopt =

в /etc/fail2ban/jail.local

описание опции -w:

# Option:  lockingopt
# Notes.:  Option was introduced to iptables to prevent multiple      instances from
#          running concurrently and causing irratic behavior.  -w was introduced
#          in iptables 1.4.20, so might be absent on older systems
#          See https://github.com/fail2ban/fail2ban/issues/1122
# Values:  STRING

в то время как в centos 6.7 версия iptable - 1.4.7, поэтому она не будет работать.

дополнительная информация здесь:

https://bugzilla.redhat.com/show_bug.cgi?id=1272681 https://github.com/fail2ban/fail2ban/issues/1122