
Configuré un servidor con fail2ban para el servidor smtp. Ahora, fail2ban prohíbe correctamente las IP y puedo verlas en la cadena de iptables de fail2ban. Sin embargo, el kernel parece ignorar la regla REJECT de la cadena fail2ban de iptables. En cambio, si agrego la misma regla a la cadena INPUT, funciona.
La salida de iptables -L -n -v
es:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
207 8339 f2b-postfix tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443,25,587,110,995,143,993,4190
17 2172 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain f2b-postfix (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
207 8339 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Como puede ver, la REJECT
regla de la f2b-postfix
cadena se ignora (0 paquetes) y todos los paquetes terminan en la RETURN
regla. Sin embargo, si agrego la misma REJECT
regla en la INPUT
cadena, funciona y rechaza el paquete.
Para estar seguro, verifiqué también la configuración sin formato de iptables:
-A INPUT -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-postfix -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
pero las dos reglas son idénticas.
¿Alguna idea?