Configuré un servidor con fail2ban para el servidor smtp. Ahora, fail2ban prohíbe correctamente las IP y puedo verlas en la cadena de iptables de fail2ban. Sin embargo, el kernel parece ignorar la regla REJECT de la cadena fail2ban de iptables. En cambio, si agrego la misma regla a la cadena INPUT, funciona.
La salida de iptables -L -n -ves:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
207 8339 f2b-postfix tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443,25,587,110,995,143,993,4190
17 2172 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain f2b-postfix (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
207 8339 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Como puede ver, la REJECTregla de la f2b-postfixcadena se ignora (0 paquetes) y todos los paquetes terminan en la RETURNregla. Sin embargo, si agrego la misma REJECTregla en la INPUTcadena, funciona y rechaza el paquete.
Para estar seguro, verifiqué también la configuración sin formato de iptables:
-A INPUT -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-postfix -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
pero las dos reglas son idénticas.
¿Alguna idea?