sshdCentOS에서 Fail2ban 설정을 활성화했습니다 . 로그를 잘 읽고 있습니다. 원격 서버에서 SSH 로그인 실패로 몇 가지 테스트를 수행합니다.
Nov 23 20:51:52 new fail2ban.filter[29090]: INFO [sshd] Found 199.180.250.xx
Nov 23 20:51:55 new fail2ban.filter[29090]: INFO [sshd] Found 199.180.250.xx
Nov 23 20:51:58 new fail2ban.filter[29090]: INFO [sshd] Found 199.180.250.xx
Nov 23 20:52:07 new fail2ban.filter[29090]: INFO [sshd] Found 199.180.250.22
Nov 23 20:52:07 new fail2ban.actions[29090]: NOTICE [sshd] 199.180.250.xx already banned
Nov 23 20:52:10 new fail2ban.filter[29090]: INFO [sshd] Found 199.180.250.xx
Nov 23 20:52:13 new fail2ban.filter[29090]: INFO [sshd] Found 199.180.250.xx
금지령이 지난 후에도 연결이 허용되는 것 같습니다. iptables를 살펴보니 올바르게 보였습니다.
Chain f2b-sshd (1 references)
target prot opt source destination
REJECT all -- 199.180.250.xx 0.0.0.0/0 reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0/0 0.0.0.0/0
연결이 지속되지 않습니다. 원격 서버는 여전히 Fail2ban을 실행하는 이 서버에 대한 SSH 세션을 열 수 있습니다.
내가 또 무엇을 놓치고 있나요?
전체 IP테이블:
Chain INPUT (policy ACCEPT)
target prot opt source destination
f2b-sshd-ddos tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
f2b-sshd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:200xyz flags:0x17/0x02
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain f2b-sshd (1 references)
target prot opt source destination
REJECT all -- 199.180.250.xx 0.0.0.0/0 reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain f2b-sshd-ddos (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
답변1
구성에서 port = ssh사용자 정의 SSH 포트로 변경해야 했습니다.
나는 Linux가 SSH 포트가 무엇으로 정의되어 있는지 알고 있고 fall2ban이 해당 시스템 구성을 따를 것이라고 가정했지만, 나는 틀렸습니다.