Fail2ban

fail2ban:當兩個監獄禁止同一個 IP 時取消禁止行為?

  • October 1, 2020

我有兩個fail2ban監獄處理postfix:一個叫postfixsasl和一個叫postfixauth。他們每個人都在尋找不同的正則表達式匹配來觸發禁令。它們都可能由來自同一 IP 地址的活動觸發,並且有時會發生這種情況。

如果其中一個禁令在另一個禁令之前到期,則似乎 IP 地址正在解除禁令,即使第二個禁令仍然有效。

例如,假設我執行fail2ban-client get postfixauth banip --with-time並在其輸出中得到以下行(實際 IP 地址已虛擬化):

aaa.bbb.ccc.ddd     2020-09-28 10:58:24 + 86400 = 2020-09-29 10:58:24

…並假設我執行fail2ban-client get postfixsasl banip --with-time並得到以下輸出。相同的 IP 地址以相同的方式被虛擬化:

aaa.bbb.ccc.ddd     2020-09-28 20:00:37 + 3600 = 2020-09-28 21:00:37

顯然,第二個禁令將在第一個禁令之前到期。但是,似乎一旦第二個項目被取消禁止,aaa.bbb.ccc.dddIP 地址似乎就被取消禁止,甚至在第一個項目的到期時間之前。

我希望aaa.bbb.ccc.dddIP 地址一直被阻止,直到最新的禁令到期,但這不會發生在我身上。

在 2020-09-29 21:00:37 之前f2b-postfixauth,輸出部分出現以下行iptables -L

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

…並且以下行出現在輸出f2b-postfixsasl部分中iptables -L

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

在 2020-09-29 的 21:00:37 之後,兩條線都從iptables -L輸出中消失了。

這是預期的行為嗎?或者可能是我的配置可能有一些完全不相關的東西fail2ban導致這種情況發生?如果這不是預期的行為,那麼我將fail2ban進一步調查我的配置。

非常感謝你。

我正在使用csf“正常”的非fail2ban防火牆處理,我發現了這一點csf並以不兼容的方式fail2ban進行互動iptables,這就是我的問題的原因。

我正在使用iptables-multiportinsidefail2ban來進行禁止,並且csf我的防火牆服務同時存在導致以前被禁止(通過fail2ban)的 IP 地址仍然可以通過防火牆。

我沒有使用iptables-multiport,而是將我的fail2ban監獄配置更改為僅通過 進行禁止和取消禁止csf,如下所述: https ://github.com/fail2ban/fail2ban/issues/2340

由於在我的啟用設置中iptables-multiport不再執行操作,所有禁止和取消禁止嘗試現在都按預期工作。csf``fail2ban

引用自:https://serverfault.com/questions/1035920