stalker780
Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Есть сервак CentOS7 + ISPManager5 за NATом, локальный ip:172.31.1.100 Достался мне по наследству. Все работает замечательно, но не могу забанить ip с помощью fail2ban. ip попадают в iptables правильно, но они по прежнему могут подключаться к серваку. Похоже какое-то правило их пропускает. Постоянно в логах f2b вижу логи вроде этого [4746]: NOTICE [recaptcha-login] 94.229.68.221 already banned Пытался сам проверять тором, имитировал брутфорс, ip определяется парвильно, попадает в бан-лист, но я по прежнему могу заходить на сайты. В частности не работают группы f2b-phpmyadmin, f2b-recaptcha-login. А вот f2b-exim-brute похоже работает, т.к. брутфорсы прерываются при достижении лимита попыток. [root@CentOS-74-64-minimal ~]# iptables -S -P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -N f2b-default -N f2b-exim-brute -N f2b-isp-manager -N f2b-phpmyadmin -N f2b-proftpd -N f2b-recaptcha-login -N f2b-recaptcha-login2 -N f2b-roundcube-auth -N f2b-sshd-brute -N ispmgr_allow_ip -N ispmgr_allow_sub -N ispmgr_deny_ip -N ispmgr_deny_sub -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A INPUT -p udp -m udp --dport 53 -j ACCEPT -A INPUT -j ispmgr_deny_ip -A INPUT -j ispmgr_allow_ip -A INPUT -j ispmgr_allow_sub -A INPUT -j ispmgr_deny_sub -A INPUT -m set --match-set ispmgr_limit_req src -j DROP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 35000:35999 -j ACCEPT -A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 20:22,25,80,443,110,143,465,587,993,995,53,3306,5432,1500 -j ACCEPT -A INPUT -p udp -m conntrack --ctstate NEW -m multiport --dports 53 -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-exim-brute -A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-recaptcha-login2 -A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-recaptcha-login -A INPUT -p tcp -m multiport --dports 22 -j f2b-default -A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-phpmyadmin -A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-isp-manager -A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-sshd-brute -A INPUT -p tcp -m multiport --dports 21,20,990,989 -j f2b-proftpd -A INPUT -p tcp -m multiport --dports 80,443 -j f2b-roundcube-auth -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A f2b-default -j RETURN -A f2b-exim-brute -s 78.214.110.35/32 -j DROP -A f2b-exim-brute -s 5.101.0.34/32 -j DROP -A f2b-exim-brute -s 180.124.84.96/32 -j DROP -A f2b-exim-brute -s 180.124.14.30/32 -j DROP -A f2b-exim-brute -j RETURN -A f2b-isp-manager -j RETURN -A f2b-phpmyadmin -s 93.242.176.140/32 -j DROP -A f2b-phpmyadmin -s 82.14.255.74/32 -j DROP -A f2b-phpmyadmin -s 81.25.29.115/32 -j DROP -A f2b-phpmyadmin -s 5.254.97.105/32 -j DROP -A f2b-phpmyadmin -s 217.248.79.183/32 -j DROP -A f2b-phpmyadmin -s 217.23.12.158/32 -j DROP -A f2b-phpmyadmin -s 188.163.85.77/32 -j DROP -A f2b-phpmyadmin -s 185.45.13.148/32 -j DROP -A f2b-phpmyadmin -s 109.236.87.212/32 -j DROP -A f2b-phpmyadmin -j RETURN -A f2b-proftpd -j RETURN -A f2b-recaptcha-login -s 104.218.63.75/32 -j DROP -A f2b-recaptcha-login -s 93.115.95.205/32 -j DROP -A f2b-recaptcha-login -s 185.220.101.6/32 -j DROP -A f2b-recaptcha-login -s 185.38.14.215/32 -j DROP -A f2b-recaptcha-login -s 200.122.181.78/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.99/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.94/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.88/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.82/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.80/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.77/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.75/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.74/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.71/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.70/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.67/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.120/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.108/32 -j DROP -A f2b-recaptcha-login -s 96.44.190.104/32 -j DROP -A f2b-recaptcha-login -s 93.76.218.220/32 -j DROP -A f2b-recaptcha-login -s 91.200.12.91/32 -j DROP -A f2b-recaptcha-login -s 91.200.12.22/32 -j DROP -A f2b-recaptcha-login -s 65.99.177.125/32 -j DROP -A f2b-recaptcha-login -s 195.22.127.24/32 -j DROP -A f2b-recaptcha-login -s 192.42.116.16/32 -j DROP -A f2b-recaptcha-login -s 185.202.103.30/32 -j DROP -A f2b-recaptcha-login -s 185.2.81.63/32 -j DROP -A f2b-recaptcha-login -s 176.108.188.1/32 -j DROP -A f2b-recaptcha-login -s 0.0.10.45/32 -j DROP -A f2b-recaptcha-login -j RETURN -A f2b-recaptcha-login2 -j RETURN -A f2b-roundcube-auth -j RETURN -A f2b-sshd-brute -j RETURN -A ispmgr_allow_ip -s my_ip/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A ispmgr_allow_ip -s 172.31.1.100/32 -p tcp -m tcp --dport 21 -j ACCEPT -A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 21 -j ACCEPT -A ispmgr_allow_ip -s my_ip/32 -p tcp -m tcp --dport 21 -j ACCEPT -A ispmgr_allow_ip -s 172.31.1.100/32 -p tcp -m tcp --dport 22 -j ACCEPT -A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 22 -j ACCEPT -A ispmgr_allow_ip -s my_ip/32 -p tcp -m tcp --dport 22 -j ACCEPT -A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A ispmgr_allow_ip -s 172.31.1.100/32 -p tcp -m tcp --dport 3306 -j ACCEPT -A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 22 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 587 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 995 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 993 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 143 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 110 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 953 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 587 -j ACCEPT -A ispmgr_allow_sub -p udp -m udp --dport 53 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 53 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 465 -j ACCEPT -A ispmgr_allow_sub -p tcp -m tcp --dport 25 -j ACCEPT -A ispmgr_deny_sub -p tcp -m tcp --dport 3306 -j DROP -A ispmgr_deny_sub -p tcp -m tcp --dport 21 -j DROP -A ispmgr_deny_sub -p tcp -m tcp --dport 3306 -j DROP -A ispmgr_deny_sub -p tcp -m tcp --dport 3306 -j DROP -A ispmgr_deny_sub -p tcp -m tcp --dport 22 -j DROP -A ispmgr_deny_sub -p tcp -m tcp --dport 111 -j DROP -A ispmgr_deny_sub -p udp -m udp --dport 111 -j DROP -A ispmgr_deny_sub -p udp -m udp --dport 323 -j DROP -A ispmgr_deny_sub -p udp -m udp --dport 443 -j DROP -A ispmgr_deny_sub -p udp -m udp --dport 80 -j DROP |