Configurei um servidor com fail2ban para o servidor smtp. Agora, o fail2ban proíbe corretamente os IPs e posso vê-los na cadeia iptables do fail2ban. No entanto, o kernel parece ignorar a regra REJECT da cadeia iptables fail2ban. Em vez disso, se eu adicionar a mesma regra à cadeia INPUT, ela funcionará.
A saída de iptables -L -n -vé:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
207 8339 f2b-postfix tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443,25,587,110,995,143,993,4190
17 2172 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain f2b-postfix (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 141.98.11.68 0.0.0.0/0 reject-with icmp-port-unreachable
207 8339 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Como você pode ver, a REJECTregra na f2b-postfixcadeia é ignorada (0 pacotes) e todos os pacotes acabam na RETURNregra. Porém, se eu adicionar a mesma REJECTregra na INPUTcadeia, ela funciona e rejeita o pacote.
Para ter certeza, verifiquei também a configuração bruta do iptables:
-A INPUT -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-postfix -s 141.98.11.68/32 -j REJECT --reject-with icmp-port-unreachable
mas as duas regras são idênticas.
Qualquer ideia?