fail2ban:當兩個監獄禁止同一個 IP 時取消禁止行為?
我有兩個
fail2ban
監獄處理postfix
:一個叫postfixsasl
和一個叫postfixauth
。他們每個人都在尋找不同的正則表達式匹配來觸發禁令。它們都可能由來自同一 IP 地址的活動觸發,並且有時會發生這種情況。如果其中一個禁令在另一個禁令之前到期,則似乎 IP 地址正在解除禁令,即使第二個禁令仍然有效。
例如,假設我執行
fail2ban-client get postfixauth banip --with-time
並在其輸出中得到以下行(實際 IP 地址已虛擬化):aaa.bbb.ccc.ddd 2020-09-28 10:58:24 + 86400 = 2020-09-29 10:58:24
…並假設我執行
fail2ban-client get postfixsasl banip --with-time
並得到以下輸出。相同的 IP 地址以相同的方式被虛擬化:aaa.bbb.ccc.ddd 2020-09-28 20:00:37 + 3600 = 2020-09-28 21:00:37
顯然,第二個禁令將在第一個禁令之前到期。但是,似乎一旦第二個項目被取消禁止,
aaa.bbb.ccc.ddd
IP 地址似乎就被取消禁止,甚至在第一個項目的到期時間之前。我希望
aaa.bbb.ccc.ddd
IP 地址一直被阻止,直到最新的禁令到期,但這不會發生在我身上。在 2020-09-29 21:00:37 之前
f2b-postfixauth
,輸出部分出現以下行iptables -L
:REJECT all -- aaa.bbb.ccc.ddd anywhere reject-with icmp-port-unreachable
…並且以下行出現在輸出
f2b-postfixsasl
部分中iptables -L
:REJECT all -- aaa.bbb.ccc.ddd anywhere reject-with icmp-port-unreachable
在 2020-09-29 的 21:00:37 之後,兩條線都從
iptables -L
輸出中消失了。這是預期的行為嗎?或者可能是我的配置可能有一些完全不相關的東西
fail2ban
導致這種情況發生?如果這不是預期的行為,那麼我將fail2ban
進一步調查我的配置。非常感謝你。
我正在使用
csf
“正常”的非fail2ban
防火牆處理,我發現了這一點csf
並以不兼容的方式fail2ban
進行互動iptables
,這就是我的問題的原因。我正在使用
iptables-multiport
insidefail2ban
來進行禁止,並且csf
我的防火牆服務同時存在導致以前被禁止(通過fail2ban
)的 IP 地址仍然可以通過防火牆。我沒有使用
iptables-multiport
,而是將我的fail2ban
監獄配置更改為僅通過 進行禁止和取消禁止csf
,如下所述: https ://github.com/fail2ban/fail2ban/issues/2340由於在我的啟用設置中
iptables-multiport
不再執行操作,所有禁止和取消禁止嘗試現在都按預期工作。csf``fail2ban