Простой вопрос действительно. Что я пропустил?
Сеть, которая правильно настроена?
В основном то, что Вы делаете, может быть сделано, но обе машины должны видеть друг друга. Та же подсеть Ethernet (соединенная виртуальная сеть), DNS, правильно настроенный и т.д. Выньте VM и все вещи, равные, та же ошибка произошла бы. Компьютеры волшебно не поднимают трубку.
Была такая же проблема.
Простое решение: добавьте следующую строку вверху файла /etc/fail2ban/jail.conf
в секция [DEFAULT]
usedns = no
Чтобы понять, почему ваш файл журнала заполняется предупреждениями, обратитесь к следующей странице в вики-странице Fail2Ban . В основном это делается для того, чтобы люди не манипулировали PTR-записью своих IP-адресов атаки, чтобы вводить ложные значения в ваши журналы.
Проверьте запись PTR [IP-адреса] и сравните разрешенное имя с исходным IP-адресом, т.е.
drill -x ip_address or dig -x ip_address or host ip_address
Затем сравните результат с:
drill result or dig result or host result
Он должен быть таким же. Если нет - злоумышленник изменил PTR.
Вы можете изменить директиву usedns
на «no» или «warn» в jail.conf
.
В моем случае предупреждение было следующим:
ВНИМАНИЕ IP-адрес определен с помощью поиска DNS: localhost = ['127.0.0.1', '127.0.0.1', '::1']
Оно появлялось каждые 10 секунд. Установка usedns=no
была не вариантом, так как я хотел получить первопричину - ведь где-то в моих логах появился этот "localhost". Перепробовав кучу журналов, я пошел по пути «грубой силы»:
find /var/log -type f -name '*.log' | xargs grep localhost -l
, который дал мне все файлы журналов, содержащие этот «localhost» (которых было всего два, один из них сам fail2ban.log
).
Оказалось, что это был "mysql/error.log". Я удалил базу данных без остановки службы (omg...), что привело к (каждые 10 секунд):
2021-01-20T05:31:17.784116Z 2680 [Примечание] Доступ запрещен для пользователя myserviceaccount@'localhost' (используя пароль: YES)
.
В конце концов - не нужно останавливать предупреждения (просто остановите службу ;-) ).