Cloudflare за iptables сайта не блокирует порты HTTP и HTTPS
Когда Fail2ban инициирует действие запрета IP, я хочу заблокировать все порты на моем сервере Ubuntu. Сейчас я использую banaction = iptables-allports и CSF. На данный момент он блокирует только порт SSH, даже если я использую iptables-allports в fail2ban.
Я сталкиваюсь с этой проблемой на сайтах за обратным прокси Cloudflare.
Это сервер Ubuntu 18.04 Nginx. Я могу просматривать IP-адреса посетителей в файлах журнала nginx. Поэтому я считаю, что этот VPS X-Forwarded-For в конфигурации nginx работает должным образом.
Когда я вручную добавил IP-адрес в список временных запретов CSF через SSH, теперь он снова не блокировал порты HTTP и HTTPS. Этот сервер поддерживает IPv4 и IPv6.
Когда я ищу заблокированный IP-адрес, он показывает следующий результат.
root@server:~# csf -g 43.250.242.xxx
Table Chain num pkts bytes target prot opt in out source destination
filter TOR 174 22 1320 REJECT all -- * * 43.250.242.xxx 0.0.0.0/0 reject-with icmp-port-unreachable
filter TOR 2 0 0 REJECT all -- * * 43.250.242.xxx 0.0.0.0/0 reject-with icmp-port-unreachable
filter TOR 6 0 0 REJECT all -- * * 43.250.242.xxx 0.0.0.0/0 reject-with icmp-port-unreachable
IPSET: Set:cc_lk Match:43.250.242.xxx Setting:CC_ALLOW_PORTS Country:LK
ip6tables:
Table Chain num pkts bytes target prot opt in out source destination
No matches found for 43.250.242.xxx in ip6tables
Вы не можете заблокировать эти соединения в iptables, потому что эти IP-адреса не подключаются к вашему серверу. Вместо этого они подключаются к CloudFlare, а CloudFlare подключается к вашему серверу. Из-за этого iptables может видеть только IP-адреса CloudFlare.
Вместо этого вам нужно использовать элементы управления IP-адресами, предоставляемые программным обеспечением вашего веб-сервера или CloudFlare.