iptables blockiert nicht nur IPv6-IPs unter Ubuntu 20.04 mit iptables-persistent, IPv4 OK

tag-icon tag-icon ubuntu nginx iptables ipv6 fail2ban
iptables blockiert nicht nur IPv6-IPs unter Ubuntu 20.04 mit iptables-persistent, IPv4 OK

Ich habe Ubuntu 20.04 VPS (LEMP) und installiert iptables-persistent. Auf diesem Server habe ich Fail2ban installiert fail2banund konfiguriert, um CloudFlaregesperrte IPs zu sperren. Außerdem verwende ich CSF. Ich verwende einen benutzerdefinierten SSH-Port und konfiguriere ihn auch über CSF. Bei der Fail2ban- jail.localAktion verwende ich " iptables-allports".

Das Problem ist, dass iptables-persistent diese IPv6-IPs nicht blockiert, wenn Fail2ban die Aktion „IPv6 gesperrt“ auslöst. Wenn beispielsweise Fail2ban meine IPv6 sperrt, kann ich mich trotzdem über SSH oder SFTP mit meinem VPS verbinden. Aber Cloudflare hat den HTTPS-Zugriff (Port 443 und Port 80) erfolgreich blockiert.

Wenn Fail2ban IPv4 gesperrt hat, wurde diese IP erfolgreich von iptables-persistent blockiert (einschließlich des benutzerdefinierten SSH-Ports).

Gibt es eine Möglichkeit, dieses IPv6-Problem zu beheben?

Antwort1

Das Problem besteht darin, dass iptables-persistent diese IPv6-IPs nicht blockiert, wenn Fail2ban die Aktion „IPv6 gesperrt“ auslöst.

Das funktioniert so nicht, geschweige denn iptables-persistentist es aus ganz anderen Gründen so eingerichtet, fail2ban braucht das alles nicht. Und wenn Sie iptables-allportsbanaction verwenden, sperrt fail2ban IPv4-Adressen mit iptablesund IPv6-Adressen mit ip6tables.

Cloudflare ist eine ganz andere Sache (versuchen Sie nicht, Bananen und Gurken in einer einzigen Angelegenheit zu vermischen).

Gibt es eine Möglichkeit, dieses IPv6-Problem zu beheben?

  1. Beachten Sie, dass IPv6-Unterstützung erst in fail2ban >= 0.10 bereitgestellt wird (0.9 unterstützt sie überhaupt nicht).
  2. Sehen Sie es [jail] Ban <some-ip-v6>in fail2ban.log?
  3. Wenn Sie dies nicht tun, ist Ihr Filter/Failregex nicht IPv6-fähig und stimmt nicht mit den Zeilen überein. Sie sollten den Unterschied finden und ihn in Failregex beheben. Stellen Sie den Protokollauszug mit IPv6-Fehlern und Failregex bereit, den Sie in Fail2ban dafür festgelegt haben.
  4. Sehen Sie einige Fehler in fail2ban.log, wenn IPv6 gesperrt wird?
  5. Sehen Sie die Jails und gesperrten IPv6-Einträge in der Ausgabe von ip6tables -nL?

verwandte Informationen