Fail2ban: запретить IP-адреса на всех портах, кроме HTTP [S] (или группы портов).
В настоящее время у моего сервера очень строгие правила fail2ban, которые постоянно и постоянно запрещают любой IP-адрес, который не может войти в систему один раз на всех портах. {1}} {1}} Это может показаться излишним, но большинство портов являются «частными» портами (это означает, что к ним должен иметь доступ только я).
Поскольку на моем сервере работает общедоступный веб-сайт, ips не следует запрещать по HTTP и HTTPS, у меня также есть настроить веб-интерфейс, чтобы разблокировать свой IP-адрес на случай, если я заблокируюсь, и тогда мне понадобится доступ к нему.
У меня не так много времени для работы с брандмауэрами и iptables, и в настоящее время я использую action.d /iptables-allports.conf с постоянными запретами .
Как я могу настроить действие для запрета IP на всех портах, кроме «публичных портов» или запрета IP на всех "частных портах" (с учетом статического списка общедоступных / частных портов)?
Заранее благодарим. -Minding
Быстрое мышление, вместо того, чтобы не запрещать эти IP-адреса для всех портов, все же пойти и бан но пропустите весь трафик на портах 80 и 443.
Добавьте это правило в iptables, и никто не будет отклонен на портах 80 и 443, даже в случае fail2ban они все еще заблокированы.
iptables -I INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT