Persistenz der IPtables-Kettennummer – wie kann ich die 1. Regel oben behalten?

Question

Fail2ban wegenDasZeile (zum Beispiel in iptables-multiport) fügt die Regel an der ersten Stelle der INPUTKette hinzu, die normalerweise in diese Zeile interpoliert würde (z. B. einfaches SSHD-Jail, IPv4 usw.):

# <iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
iptables -I INPUT -p tcp -m multiport --dports ssh -j f2b-sshd

Sie haben also zwei Möglichkeiten, dies zu tun:

entweder erstellen Sie eine weitere Kette (z. B. F2B), fügen sie nach Ihrer ersten Kette in INPUT hinzu und geben ihren Namen in der fail2ban-Konfiguration anstelle von INPUT an. Erstellen Sie beispielsweise eine neue/etc/fail2ban/action.d/iptables-common.localund überschreibe es chainmit deinem eigenen für alle Fail2Ban-Ketten:

[Init]
chain = F2B

oder geben Sie seinen Namen an jail.local, beispielsweise im Abschnitt „Standard“ oder pro Jail:

[DEFAULT]
banaction = %(known/banaction)s[chain=F2B]
banaction_allports = %(known/banaction_allports)s[chain=F2B]

Geben Sie in der Kette eine eigene Regelnummer an (1 ist Standard). Anstatt die Kette auf festzulegen F2B, verwenden Sie sie chain = INPUT 2in der lokalen gemeinsamen Konfiguration oder wie hier in jail.local:

[DEFAULT]
banaction = %(known/banaction)s[chain="INPUT 2"]
banaction_allports = %(known/banaction_allports)s[chain="INPUT 2"]

In diesem Fall interpoliert fail2ban die oben erwähnte Hinzufügungsregel (für SSHD-Jail) wie folgt:

- iptables -I INPUT -p tcp -m multiport --dports ssh -j f2b-sshd
+ iptables -I INPUT 2 -p tcp -m multiport --dports ssh -j f2b-sshd

Stellen Sie in beiden Fällen einfach sicher (z. B. durch Verwendung von Dienstabhängigkeiten), dass die Kette F2Bund Ihre eigene Kette bereits zu iptables hinzugefügt wurden (fail2ban wird gestartet, nachdem Ihre Änderung bereits vorgenommen wurde).

Answer 1

Fail2ban wegenDasZeile (zum Beispiel in iptables-multiport) fügt die Regel an der ersten Stelle der INPUTKette hinzu, die normalerweise in diese Zeile interpoliert würde (z. B. einfaches SSHD-Jail, IPv4 usw.):

# <iptables> -I <chain> -p <protocol> -m multiport --dports <port> -j f2b-<name>
iptables -I INPUT -p tcp -m multiport --dports ssh -j f2b-sshd

Sie haben also zwei Möglichkeiten, dies zu tun:

entweder erstellen Sie eine weitere Kette (z. B. F2B), fügen sie nach Ihrer ersten Kette in INPUT hinzu und geben ihren Namen in der fail2ban-Konfiguration anstelle von INPUT an. Erstellen Sie beispielsweise eine neue/etc/fail2ban/action.d/iptables-common.localund überschreibe es chainmit deinem eigenen für alle Fail2Ban-Ketten:

[Init]
chain = F2B

oder geben Sie seinen Namen an jail.local, beispielsweise im Abschnitt „Standard“ oder pro Jail:

[DEFAULT]
banaction = %(known/banaction)s[chain=F2B]
banaction_allports = %(known/banaction_allports)s[chain=F2B]

Geben Sie in der Kette eine eigene Regelnummer an (1 ist Standard). Anstatt die Kette auf festzulegen F2B, verwenden Sie sie chain = INPUT 2in der lokalen gemeinsamen Konfiguration oder wie hier in jail.local:

[DEFAULT]
banaction = %(known/banaction)s[chain="INPUT 2"]
banaction_allports = %(known/banaction_allports)s[chain="INPUT 2"]

In diesem Fall interpoliert fail2ban die oben erwähnte Hinzufügungsregel (für SSHD-Jail) wie folgt:

- iptables -I INPUT -p tcp -m multiport --dports ssh -j f2b-sshd
+ iptables -I INPUT 2 -p tcp -m multiport --dports ssh -j f2b-sshd

Stellen Sie in beiden Fällen einfach sicher (z. B. durch Verwendung von Dienstabhängigkeiten), dass die Kette F2Bund Ihre eigene Kette bereits zu iptables hinzugefügt wurden (fail2ban wird gestartet, nachdem Ihre Änderung bereits vorgenommen wurde).

Persistenz der IPtables-Kettennummer – wie kann ich die 1. Regel oben behalten?

Zusammenfassung

Aufstellen

Aktuelles Verhalten:

Antwort1

verwandte Informationen