У меня есть очень странная проблема с fail2ban/iptables. Что-то не работает правильно, но я не могу figoure что.
Я добавил этот conf и и фильтр для fail2ban:
[wordpress-register]
enabled = true
port = http,https
filter = wordpress-register
logpath = /var/log/nginx/access.log
[Definition]
failregex = ^<HOST> .* "GET /wp-login.php\?action=register HTTP/.*" .*$
Fail2ban запускается, но имеет это в журналах ошибок:
22.09.2014 15:14:35,794 fail2ban.server.action [5275]: ОШИБКА ipset создает тайм-аут fail2ban-wordpress-register hash:ip 600
брандмауэр-cmd - прямой - фильтр добавлять-правила ipv4 ВВЕЛ 0-p tcp-m многопортовый - dports http, https-m набор - установленное на соответствие ОТКЛОНЕНИЕ fail2ban-wordpress-register src-j - отклонение - с icmp-port-unreachable - stderr: 'ipset v6.19: ошибка Ядра получила: тип набора не supported\n'
21.09.2014 2:57:43,860 fail2ban.server.action [1191]: ОШИБКА ipset создает тайм-аут fail2ban-wordpress-register hash:ip 600 брандмауэров-cmd - прямой - фильтр добавлять-правила ipv4 ВВЕЛ 0-p tcp-m многопортовый - dports http, https-m набор - установленное на соответствие ОТКЛОНЕНИЕ fail2ban-wordpress-register src-j - отклонение - с icmp-port-unreachable - stdout: "\x1b [91mError: COMMAND_FAILED: '/sbin/iptables-t многопортовый-I INPUT_direct 1-p tcp-m фильтра - dports http, https-m набор - установленное на соответствие ОТКЛОНЕНИЕ fail2ban-wordpress-register src-j - отклонение - с icmp-port-unreachable' перестало работать: iptables v1.4.21: Набор fail2ban-wordpress-register не существует \n\nTry 'iptables-h' или 'iptables - справка' для большей информации \x1b [00m\n"
Какая-либо идея, какова проблема могла быть? Я предполагаю, что главное состоит в том что:
ipset v6.19: ошибка Ядра получила: тип набора, не поддерживаемый
Но, что это означает?
Команда ipset
требует поддержки IP SET в ядре. В частности, вам нужны следующие параметры:
CONFIG_IP_SET=m
CONFIG_IP_SET_HASH_IP=m
И похоже, что ваше ядро построено без поддержки ipset, или, по крайней мере, оно не может найти эти модули. Решите эту проблему, и ваша ошибка исчезнет.
Попробуйте запустить find / lib / modules / $ (uname -r) -name ip_set.ko
, чтобы узнать, поддерживает ли ваше текущее ядро их, а также найдите / lib / modules -name ip_set.ko
, чтобы узнать, поддерживает ли их какое-либо из установленных ядер.
Если вам нужна дополнительная помощь, вы должны сообщить нам:
Я также должен отметить, что версия ipset, указанная в вашем вопросе (6.19), представляет собой CentOS 7. с, поэтому, если вы используете исходное ядро и fail2ban из репозитория EPEL, все должно работать.
CentOS 6.5 также поддерживает наборы IP, и fail2ban доступен в EPEL для CentOS 6. Они также должны работать нормально.
] Однако, если вы используете CentOS 5, скорее всего, вам не повезло. Возможно, вам повезет со сборкой модулей, которые поставляются с ipset, но я не уверен, что ядро CentOS 5 вообще поддерживается. Если вам действительно удалось это осуществить, а затем обновить ядро, то это просто вопрос восстановления модулей для нового ядра.