Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

Открыть новую тему     Написать ответ в эту тему

stalker780



Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Есть сервак CentOS7 + ISPManager5 за NATом, локальный ip:172.31.1.100
Достался мне по наследству.
 
Все работает замечательно, но не могу забанить ip с помощью fail2ban. ip попадают в iptables правильно, но они по прежнему могут подключаться к серваку.
 
Похоже какое-то правило их пропускает.  
 
Постоянно в логах f2b вижу логи вроде этого [4746]: NOTICE  [recaptcha-login] 94.229.68.221 already banned
 
Пытался сам проверять тором, имитировал брутфорс, ip определяется парвильно, попадает в бан-лист, но я по прежнему могу заходить на сайты.
 
В частности не работают группы  f2b-phpmyadmin, f2b-recaptcha-login. А вот f2b-exim-brute похоже работает, т.к. брутфорсы прерываются при достижении лимита попыток.
 
[root@CentOS-74-64-minimal ~]# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-N f2b-default
-N f2b-exim-brute
-N f2b-isp-manager
-N f2b-phpmyadmin
-N f2b-proftpd
-N f2b-recaptcha-login
-N f2b-recaptcha-login2
-N f2b-roundcube-auth
-N f2b-sshd-brute
-N ispmgr_allow_ip
-N ispmgr_allow_sub
-N ispmgr_deny_ip
-N ispmgr_deny_sub
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -j ispmgr_deny_ip
-A INPUT -j ispmgr_allow_ip
-A INPUT -j ispmgr_allow_sub
-A INPUT -j ispmgr_deny_sub
-A INPUT -m set --match-set ispmgr_limit_req src -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 35000:35999 -j ACCEPT
-A INPUT -p tcp -m conntrack --ctstate NEW -m multiport --dports 20:22,25,80,443,110,143,465,587,993,995,53,3306,5432,1500 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -m multiport --dports 53 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-exim-brute
-A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-recaptcha-login2
-A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-recaptcha-login
-A INPUT -p tcp -m multiport --dports 22 -j f2b-default
-A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-phpmyadmin
-A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-isp-manager
-A INPUT -p tcp -m multiport --dports 0:65535 -j f2b-sshd-brute
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j f2b-proftpd
-A INPUT -p tcp -m multiport --dports 80,443 -j f2b-roundcube-auth
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A f2b-default -j RETURN
-A f2b-exim-brute -s 78.214.110.35/32 -j DROP
-A f2b-exim-brute -s 5.101.0.34/32 -j DROP
-A f2b-exim-brute -s 180.124.84.96/32 -j DROP
-A f2b-exim-brute -s 180.124.14.30/32 -j DROP
-A f2b-exim-brute -j RETURN
-A f2b-isp-manager -j RETURN
-A f2b-phpmyadmin -s 93.242.176.140/32 -j DROP
-A f2b-phpmyadmin -s 82.14.255.74/32 -j DROP
-A f2b-phpmyadmin -s 81.25.29.115/32 -j DROP
-A f2b-phpmyadmin -s 5.254.97.105/32 -j DROP
-A f2b-phpmyadmin -s 217.248.79.183/32 -j DROP
-A f2b-phpmyadmin -s 217.23.12.158/32 -j DROP
-A f2b-phpmyadmin -s 188.163.85.77/32 -j DROP
-A f2b-phpmyadmin -s 185.45.13.148/32 -j DROP
-A f2b-phpmyadmin -s 109.236.87.212/32 -j DROP
-A f2b-phpmyadmin -j RETURN
-A f2b-proftpd -j RETURN
-A f2b-recaptcha-login -s 104.218.63.75/32 -j DROP
-A f2b-recaptcha-login -s 93.115.95.205/32 -j DROP
-A f2b-recaptcha-login -s 185.220.101.6/32 -j DROP
-A f2b-recaptcha-login -s 185.38.14.215/32 -j DROP
-A f2b-recaptcha-login -s 200.122.181.78/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.99/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.94/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.88/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.82/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.80/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.77/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.75/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.74/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.71/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.70/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.67/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.120/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.108/32 -j DROP
-A f2b-recaptcha-login -s 96.44.190.104/32 -j DROP
-A f2b-recaptcha-login -s 93.76.218.220/32 -j DROP
-A f2b-recaptcha-login -s 91.200.12.91/32 -j DROP
-A f2b-recaptcha-login -s 91.200.12.22/32 -j DROP
-A f2b-recaptcha-login -s 65.99.177.125/32 -j DROP
-A f2b-recaptcha-login -s 195.22.127.24/32 -j DROP
-A f2b-recaptcha-login -s 192.42.116.16/32 -j DROP
-A f2b-recaptcha-login -s 185.202.103.30/32 -j DROP
-A f2b-recaptcha-login -s 185.2.81.63/32 -j DROP
-A f2b-recaptcha-login -s 176.108.188.1/32 -j DROP
-A f2b-recaptcha-login -s 0.0.10.45/32 -j DROP
-A f2b-recaptcha-login -j RETURN
-A f2b-recaptcha-login2 -j RETURN
-A f2b-roundcube-auth -j RETURN
-A f2b-sshd-brute -j RETURN
-A ispmgr_allow_ip -s my_ip/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A ispmgr_allow_ip -s 172.31.1.100/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A ispmgr_allow_ip -s my_ip/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A ispmgr_allow_ip -s 172.31.1.100/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A ispmgr_allow_ip -s my_ip/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A ispmgr_allow_ip -s 172.31.1.100/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A ispmgr_allow_ip -s 127.0.0.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 587 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 995 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 993 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 143 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 110 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 953 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 587 -j ACCEPT
-A ispmgr_allow_sub -p udp -m udp --dport 53 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 53 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 465 -j ACCEPT
-A ispmgr_allow_sub -p tcp -m tcp --dport 25 -j ACCEPT
-A ispmgr_deny_sub -p tcp -m tcp --dport 3306 -j DROP
-A ispmgr_deny_sub -p tcp -m tcp --dport 21 -j DROP
-A ispmgr_deny_sub -p tcp -m tcp --dport 3306 -j DROP
-A ispmgr_deny_sub -p tcp -m tcp --dport 3306 -j DROP
-A ispmgr_deny_sub -p tcp -m tcp --dport 22 -j DROP
-A ispmgr_deny_sub -p tcp -m tcp --dport 111 -j DROP
-A ispmgr_deny_sub -p udp -m udp --dport 111 -j DROP
-A ispmgr_deny_sub -p udp -m udp --dport 323 -j DROP
-A ispmgr_deny_sub -p udp -m udp --dport 443 -j DROP
-A ispmgr_deny_sub -p udp -m udp --dport 80 -j DROP
Всего записей: 216 | Зарегистр. 01-07-2003 | Отправлено: 16:06 15-12-2017
Открыть новую тему     Написать ответ в эту тему

На первую страницук этому сообщениюк последнему сообщению

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Firewall *nix: iptables, ipfw, pf etc...


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru