IPTables вызывает конфликт с ОС Fail2Ban
ОС: Ubuntu Server 18.04
Fail2ban: v0.10.2
Я пытаюсь понять ошибку с моей установкой Fail2ban (я полагаю, что из моей собственное производство). У меня есть задание cron, которое заполняет iptables предопределенным списком, используя:
iptables -A INPUT -s <ip address> -j DROP
iptables -A INPUT -s <ip address> -j DROP
etc
etc
В начале этого скрипта он запускает:
iptables -F INPUT , чтобы очистить цепочку INPUT.
Это задание cron присутствовало на сервере до того, как я установил Fail2ban для динамической блокировки злоумышленников. Однако я заметил, что начал получать множество уведомлений о том, что определенный IP-адрес уже заблокирован . Когда я остановил выполнение задания cron iptables, эта ошибка исчезла, и все работало без каких-либо проблем.
Мой вопрос: какой вид конфликта я создаю, запустив iptables -F INPUT в то время как Fail2ban все еще работает? Разве эта команда не подойдет, поскольку заблокированные IP-адреса помещаются в соответствующую цепочку f2b- , или я неправильно понимаю? Если этот сценарий iptables необходимо запустить, следует ли мне что-то сделать с базой данных Fail2ban (очистка и т. Д.)?
Спасибо.
fail2ban также должен поместить правила в цепочку INPUT для вызова цепочек, которые он определяет для каждой отдельной тюрьмы. Удаляя их, вы заставляете эти правила не применяться, а IP-адреса, которые должны быть заблокированы, все еще проходят, и fail2ban предупреждает вас об этом, говоря, что они уже были забанены.
У вас не должно быть причин сбрасывать цепочку INPUT таким образом. Вместо этого ваше задание cron должно создавать свою собственную определяемую пользователем цепочку и добавлять в цепочку INPUT только правило для вызова этой определяемой пользователем цепочки. А еще лучше, вы должны использовать ipset, который имеет лучшую производительность, а также может быть атомарно заменен, когда вы хотите изменить его. (И по той же причине вы должны также использовать ipsets для fail2ban.)