Eu tenho o Ubuntu 20.04 VPS (LEMP) e instalei o iptables-persistent. Neste servidor, instalei fail2bane configurei CloudFlarepara banir IP's banidos do fail2ban. Além disso, eu uso o LCR. Eu uso uma porta SSH personalizada e também a configuro via CSF. Na jail.localação Fail2ban, eu uso " iptables-allports".
O problema é quando o Fail2ban aciona a ação banida do IPv6, o iptables-persistent não bloqueia esses IPs IPv6. Por exemplo, se o Fail2ban proibiu meu IPv6, ainda posso me conectar ao meu VPS por SSH ou SFTP. Mas a Cloudflare bloqueou com sucesso o acesso HTTPS (porta 443 e porta 80).
Se Fail2ban baniu o IPv4, esse IP foi bloqueado com sucesso pelo iptables-persistent (incluindo a porta SSH personalizada).
Alguma maneira de corrigir esse problema do IPv6?
Responder1
O problema é quando o Fail2ban aciona a ação banida do IPv6, o iptables-persistent não bloqueia esses IPs IPv6.
Não funciona assim, e muito menos iptables-persistenté organizado por razões totalmente diferentes, o fail2ban não precisa de tudo. E se você usar iptables-allportsbanaction, o fail2ban proíbe endereços IPv4 usando iptablese endereços IPv6 usando ip6tables.
Cloudflare é outra coisa completamente diferente (não tente misturar bananas e pepinos em uma única edição).
Alguma maneira de corrigir esse problema do IPv6?
- Observe que o suporte IPv6 é fornecido primeiramente em fail2ban >= 0,10 (0,9 não oferece suporte).
- Você vê
[jail] Ban <some-ip-v6>em fail2ban.log? - Caso contrário, seu filter/failregex não é compatível com IPv6 e não corresponde às linhas. Você deve encontrar a diferença e corrigi-la no failregex. Forneça o trecho do log com falhas IPv6 e failregex que você definiu em fail2ban para isso.
- Você vê alguns erros no fail2ban.log se o IPv6 for banido?
- Você vê as prisões e as entradas IPv6 proibidas na saída de
ip6tables -nL?