Debian

fail2ban iptable 規則不會阻止

  • October 30, 2013

所以我在我的 Debian 7 伺服器上設置了 fail2ban,但我仍然受到很多打擊,我不知道為什麼沒有正確阻止。正則表達式有效,它可以辨識嘗試,但它插入的 iptables 規則似乎不起作用,這就是 iptables 輸出在 fail2ban 嘗試阻止後的樣子。

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    fail2ban-courierauth  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25
2    fail2ban-couriersmtp  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:25
3    sshguard   all  --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain fail2ban-courierauth (1 references)
num  target     prot opt source               destination
1    DROP       all  --  216.x.y.z            0.0.0.0/0
2    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-courierimap (0 references)
num  target     prot opt source               destination
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-courierpop3 (0 references)
num  target     prot opt source               destination
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-couriersmtp (1 references)
num  target     prot opt source               destination
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-postfix (0 references)
num  target     prot opt source               destination
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

Chain fail2ban-sasl (0 references)
num  target     prot opt source               destination
1    RETURN     all  --  0.0.0.0/0            0.0.0.0/0

在上面的 iptables 中,您可以看到“Chain fail2ban-courierauth”規則添加了 ip 的丟棄規則,但我仍然能夠連接!

我仍然可以連接到伺服器,為什麼它沒有阻塞?

(我會發布這個主要是要求澄清的評論,但我還沒有足夠的業力來發表評論:|)

冒著明顯的風險——當你說你“仍然可以連接到伺服器”時;你的意思是在25埠?因為您配置的 iptables 規則將僅匹配(並阻止)您對埠 25 的訪問,假設您與埠 25 上的伺服器的連接來自您列為阻止的 216.xyz IP。

您擁有的 iptables 鏈的配置方式與我的(也使用 Debian)大致相同,並且我的工作可以阻止對特定服務的訪問 - 所以我認為這不一定是 iptables 配置的罪魁禍首,只要您只是期待它只是阻止埠 25 而不是整個伺服器,並且您在 PREROUTING 中沒有奇怪的東西可能會轉移流量而不是在 INPUT 中處理。

引用自:https://serverfault.com/questions/549447