Ich habe einen Server mit fail2ban für den SMTP-Server konfiguriert. Jetzt sperrt fail2ban die IPs korrekt und ich kann sie in der iptables-Kette von fail2ban sehen. Der Kernel scheint jedoch die REJECT-Regel der iptables-fail2ban-Kette zu ignorieren. Wenn ich stattdessen dieselbe Regel zur INPUT-Kette hinzufüge, funktioniert es.
Die Ausgabe iptables -L -n -vlautet:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
207 8339 f2b-postfix tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443,25,587,110,995,143,993,4190
17 2172 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain f2b-postfix (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
207 8339 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Wie Sie sehen, wird die REJECTRegel in der f2b-postfixKette ignoriert (0 Pakete) und alle Pakete landen in der RETURNRegel. Wenn ich jedoch dieselbe REJECTRegel in die INPUTKette einfüge, funktioniert sie und lehnt das Paket ab.
Um sicherzugehen, habe ich auch die Rohkonfiguration von iptables überprüft:
-A INPUT -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-postfix -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
aber die beiden Regeln sind identisch.
Irgendeine Idee?