Ich habe versucht, herauszufinden, wie man das Timeout eines IPset-Eintrags aktualisiert, bisher ohne Erfolg. Bei Verwendung eines nativen IPsets würde ich einfach Folgendes verwenden:
$ ipset add foo 192.168.0.5 timout N -exist
aber Firewalld scheint diese Funktion laut Handbuch (man) nicht zu implementieren, was ziemlich nützlich und weit verbreitet ist. IP2ban scheint die IPset-Implementierung von Firewalld zu umgehen und sie einfach nativ zu verwenden. Ich habe es also versucht, jedoch ohne Erfolg:
IPset-Erstellung:
$ ipset create foo hash:ip timeout 300
direkte Regel:
$ firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p TCP -m multiport --dports 22,443 -m set --match-set foo src -j ACCEPT
$ ipset add foo 192.120.11.1
https-Anfragen und SSH-Verbindungsversuche werden ohne Route zum Host abgebrochen. Sobald ich die Firewall deaktiviere, kann ich erfolgreich Anfragen senden und eine SSH-Verbindung herstellen.
- Ich verwende die Standardzone:
public (active)
target: default
icmp-block-inversion: no
interfaces: enp0s3
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Firewall-Befehl --direct --get-all-rules: IPv4-Filter INPUT 0 -p TCP -m Multiport --dports 22.443 -m set --match-set foo src -j ACCEPT
was mache ich falsch, ist das mit Firewalld möglich?
Dank im Voraus