Fail2Ban Postfix 有時會在 iptables 中禁止域名而不是 IP 地址

我正在執行一個使用 Postfix 作為郵件中繼的 Ubuntu 伺服器。為了防止暴力攻擊，我安裝了 Fail2Ban 並將其配置為/var/log/mail.log相應地禁止 IP。我正在使用[FAIL2BAN_FOLDER]/filter.d/postfix.confFail2Ban 附帶的預設 Postfix 過濾器，配置為最嚴格的檢測模式，以便它也擷取 SASL 登錄失敗。

擷取失敗的 Postfix 登錄的正則表達式postfix.conf如下：

^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server

它完美地擷取了所有失敗的郵件中繼登錄，並使用fail2ban-client status postfix將顯示所有因暴力破解而被禁止的 IP。但是，當我檢查時iptables --list，我得到一些不禁止 IP 地址的條目，而是域名。下面是一些例子：

target     prot opt source               destination
REJECT     all  --  vm5403.hv8.ru        anywhere             reject-with icmp-port-unreachable
REJECT     all  --  179.185.35.150.static.gvt.net.br  anywhere             reject-with icmp-port-unreachable

我不iptables獨立使用，只通過Fail2Ban。這是我應該關心的事情嗎？如果它碰巧是一個問題，我能做些什麼來糾正它？

我不認為這是 fail2ban 實際所做的事情，而是我懷疑您會因為iptables --list出於展示目的而查找名稱而感到困惑。

添加-n到您的iptables --list命令以禁用此功能。

從iptables手冊（強調添加）：

-L，–列表

$$ chain $$

列出選定鏈中的所有規則。如果沒有選擇鏈，則列出所有鏈。像所有其他 iptables 命令一樣，它適用於指定的表（過濾器是預設值），因此

iptables -t nat -n -L列出 NAT 規則

請注意，它通常與 -n 選項一起使用，以避免長反向 DNS 查找。 指定 -Z（零）選項也是合法的，在這種情況下，鏈將自動列出並歸零。確切的輸出受給定的其他參數的影響。在您使用

iptables -L -v之前，會抑制確切的規則

或 iptables-save(8)。

引用自：https://serverfault.com/questions/943438