[几天前我问了这个问题Confuse about fail2ban behavior with firewallD in Centos 7它是带有多个注释的大文本。在fail2ban重新启动几个小时后,似乎有些东西开始刷新iptables,但我不知道它是什么。几个月前,我将一些虚拟主机从我使用了10多年的专用服务器移到了Contabo VPS。一切顺利,但fail2ban入狱。囚犯逃脱。 :)我从Centos 6迁移到Centos 7 Webmin / Virtualmin LAMP fail2ban;离开/ etc / sysconfig / iptables,现在使用firewalld。如前所述,在经过数小时的fail2ban重新启动之后,以及在某些被成功禁止的IP之后,如@sebres所示,由于“后效应”,某些东西正在刷新iptables,例如
2019-12-05 16:55:20,856 fail2ban.action [1514]:错误iptables -w -n -L INPUT | grep -q'f2b-proftpd [\ t]'-stdout:''
和“已被禁止”通知。我在默认配置中尝试的所有更改均未更改。最后,我删除了Webmin模块以管理fail2ban并重新安装了该服务。重命名为/ etc / fail2ban以保留备份配置。
rpm -qa | grep -i fail2ban
然后
yum remove fail2ban-server
yum remove fail2ban-firewalld
yum install fail2ban-firewalld (also installs -server)
yum install fail2ban-systemd
然后将旧的jail.local复制到新的/ etc / fail2ban目录
[默认]banaction = iptables-multiportbanaction_allports = iptables-allports
[sshd]启用=真端口= sshmaxretry = 4bantime = 7200
[ssh-ddos]启用=真端口= ssh,sftp过滤器= sshd-ddos
[webmin-auth]启用=真端口= 10000
[proftpd]启用=真bantime = -1
[后缀]启用=真bantime = -1
[鸽舍]启用=真bantime = -1
[postfix-sasl]启用=真bantime = -1
我还检查了cron作业,看是否可以通过某种方式刷新iptables。目前,我定期运行一个脚本来手动拒绝那些“已被禁止”的IP。
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='xxx.xxx.xxx.xxx' reject"
所以我的问题是如何知道什么是iptables的混淆。
UPADATE 1更新到稳定的V 0.10 fail2ban版本后,问题似乎消失了,但是5天后又重新开始。以前,v0.9重新启动后,几个小时后便开始出现问题。
我无法想象在这里将fail2ban怪,但是要排除它(或者fail2ban的某些行为在您这边被破坏了,我们应该研究一下您的配置...因此,提供您的whole(未修改的)配置转储:
fail2ban-client -d
或至少转储所有监狱的所有行动:
fail2ban-client -d | grep 'action'
现在正在使用firewalld
我在您的配置和日志摘录(错误消息)中看到非常确定的iptables。那么,您实际上使用哪种禁止措施?
由于诸如“ ...的”后效应“,某些东西正在刷新iptables]
不,会有后效应,因为某些东西是冲洗规则,反之亦然。例如,这可能是一些“防火墙”脚本,可用于配置iptables(端口,默认拒绝规则等),由于依赖关系而重启某些服务(重新启动或重新加载iptables),某些脚本错误地实现了敲除操作以及许多其他脚本。我认为要找到它并不是一件容易的事,如果您无法控制它(例如,您可以排除由安装或集成在VPS中的Contabo实现的某些服务吗?)。