iptables가 IP 주소를 차단하지 않는 이유는 무엇입니까?

9

내가 받고있는 특정 유형의 악성 트래픽을 모니터링하고 관련 IP 주소를 금지하도록 fail2ban을 구성했습니다.

정규식이 패턴을 적절하게 일치시키고 문제의 IP 주소가 iptables에 추가되고 있습니다.

그러나 Apache 로그를 확인하면 여전히 금지 된 IP 주소에서 히트가 발생합니다. iptables가 전혀 실행되지 않는 것처럼 보입니다.

모든 것이 올바르게 구성되었는지 확인하기 위해 몇 가지 세부 사항을 공유하겠습니다.

먼저 iptables 규칙을 지우고 다시로드하겠습니다.

$ sudo iptables -F
$ cat /etc/iptables.firewall.rules 
*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT
$ sudo iptables-restore < /etc/iptables.firewall.rules
$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      *       0.0.0.0/0            127.0.0.0/8          reject-with icmp-port-unreachable
   14  1432 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 5/min burst 5 LOG flags 0 level 7 prefix "iptables denied: "
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   11  1638 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

이제 fail2ban 구성은 다음과 같습니다.

$ cat /etc/fail2ban/filter.d/apache-xmlrpc.conf 
[Definition]
failregex = .*:80 <HOST> .*POST .*xmlrpc\.php.*
ignoreregex =
$ cat /etc/fail2ban/jail.local 
[apache-xmlrpc]

enabled  = true
port     = http,https
filter   = apache-xmlrpc
logpath  = /var/log/apache2/other_vhosts_access.log
maxretry = 6
$ fail2ban-regex /var/log/apache2/other_vhosts_access.log /etc/fail2ban/filter.d/apache-xmlrpc.conf 

Running tests
=============

Use regex file : /etc/fail2ban/filter.d/apache-xmlrpc.conf
Use log file   : /var/log/apache2/other_vhosts_access.log


Results
=======

Failregex
|- Regular expressions:
|  [1] .*:80 <HOST> .*POST .*xmlrpc\.php.*
|
`- Number of matches:
   [1] 29 match(es)

Ignoreregex
|- Regular expressions:
|
`- Number of matches:

Summary
=======

Addresses found:
[1]
    80.82.70.239 (Sat Jul 13 02:41:52 2013)
    80.82.70.239 (Sat Jul 13 02:41:53 2013)
    80.82.70.239 (Sat Jul 13 02:41:55 2013)
    80.82.70.239 (Sat Jul 13 02:41:56 2013)
    80.82.70.239 (Sat Jul 13 02:41:57 2013)
    80.82.70.239 (Sat Jul 13 02:41:58 2013)
    80.82.70.239 (Sat Jul 13 02:41:59 2013)
    80.82.70.239 (Sat Jul 13 02:42:00 2013)
    80.82.70.239 (Sat Jul 13 02:42:02 2013)
    80.82.70.239 (Sat Jul 13 02:42:03 2013)
    80.82.70.239 (Sat Jul 13 02:42:04 2013)
    80.82.70.239 (Sat Jul 13 02:42:05 2013)
    80.82.70.239 (Sat Jul 13 02:42:06 2013)
    80.82.70.239 (Sat Jul 13 02:42:07 2013)
    80.82.70.239 (Sat Jul 13 02:42:09 2013)
    80.82.70.239 (Sat Jul 13 02:42:10 2013)
    80.82.70.239 (Sat Jul 13 02:42:11 2013)
    80.82.70.239 (Sat Jul 13 02:42:12 2013)
    80.82.70.239 (Sat Jul 13 02:42:13 2013)
    80.82.70.239 (Sat Jul 13 02:42:15 2013)
    80.82.70.239 (Sat Jul 13 02:42:16 2013)
    80.82.70.239 (Sat Jul 13 02:42:17 2013)
    80.82.70.239 (Sat Jul 13 02:42:18 2013)
    80.82.70.239 (Sat Jul 13 02:42:19 2013)
    80.82.70.239 (Sat Jul 13 02:42:20 2013)
    80.82.70.239 (Sat Jul 13 02:42:22 2013)
    80.82.70.239 (Sat Jul 13 02:42:23 2013)
    80.82.70.239 (Sat Jul 13 02:42:24 2013)
    80.82.70.239 (Sat Jul 13 02:42:25 2013)

Date template hits:
0 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
70 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Year.Month.Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/Year@Hour:Minute:Second>

Success, the total number of match is 29

However, look at the above section 'Running tests' which could contain important
information.

보시다시피, 필터에 failregex가 설정되어 있고 필터가 활성화되어 있습니다. fail2ban-regex를 사용하면 필터가 모니터링중인 로그 파일에서 일치하는 항목을 찾습니다. (현재 문제가있는 IP 주소에 적극적으로 타격을 받고있어 테스트가 매우 쉬워졌습니다.)

이제 fail2ban을 다시 시작하고 규칙이 적용되는지 확인하십시오.

$ sudo service fail2ban restart
 * Restarting authentication failure monitor fail2ban                                                                                                                         [ OK ] 
$ tail /var/log/fail2ban.log -n 50
2013-07-13 02:42:58,014 fail2ban.server : INFO   Stopping all jails
2013-07-13 02:42:58,745 fail2ban.jail   : INFO   Jail 'apache-xmlrpc' stopped
2013-07-13 02:42:59,439 fail2ban.jail   : INFO   Jail 'ssh' stopped
2013-07-13 02:42:59,440 fail2ban.server : INFO   Exiting Fail2ban
2013-07-13 02:43:08,055 fail2ban.server : INFO   Changed logging target to /var/log/fail2ban.log for Fail2ban v0.8.6
2013-07-13 02:43:08,057 fail2ban.jail   : INFO   Creating new jail 'ssh'
2013-07-13 02:43:08,111 fail2ban.jail   : INFO   Jail 'ssh' uses Gamin
2013-07-13 02:43:08,397 fail2ban.filter : INFO   Added logfile = /var/log/auth.log
2013-07-13 02:43:08,404 fail2ban.filter : INFO   Set maxRetry = 6
2013-07-13 02:43:08,414 fail2ban.filter : INFO   Set findtime = 600
2013-07-13 02:43:08,435 fail2ban.actions: INFO   Set banTime = 600
2013-07-13 02:43:09,277 fail2ban.jail   : INFO   Creating new jail 'apache-xmlrpc'
2013-07-13 02:43:09,277 fail2ban.jail   : INFO   Jail 'apache-xmlrpc' uses Gamin
2013-07-13 02:43:09,283 fail2ban.filter : INFO   Added logfile = /var/log/apache2/other_vhosts_access.log
2013-07-13 02:43:09,286 fail2ban.filter : INFO   Set maxRetry = 6
2013-07-13 02:43:09,289 fail2ban.filter : INFO   Set findtime = 600
2013-07-13 02:43:09,292 fail2ban.actions: INFO   Set banTime = 600
2013-07-13 02:43:09,458 fail2ban.jail   : INFO   Jail 'ssh' started
2013-07-13 02:43:09,792 fail2ban.jail   : INFO   Jail 'apache-xmlrpc' started
2013-07-13 02:43:11,361 fail2ban.actions: WARNING [apache-xmlrpc] Ban 80.82.70.239
$ sudo iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  244 39277 fail2ban-apache-xmlrpc  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443
  101  7716 fail2ban-ssh  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 22
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      *       0.0.0.0/0            127.0.0.0/8          reject-with icmp-port-unreachable
 3404  582K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  349 20900 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
   12   720 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    2    80 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            limit: avg 5/min burst 5 LOG flags 0 level 7 prefix "iptables denied: "
    2    80 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 3331 4393K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-apache-xmlrpc (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       80.82.70.239         0.0.0.0/0           
  244 39277 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fail2ban-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       223.4.147.8          0.0.0.0/0           
  101  7716 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

fail2ban 로그에 표시된대로 규칙 세트가 올바르게 구성된 것으로 나타납니다. 문제가있는 IP 주소가 바로 잡히고 금지되고 있음을 이미 알 수 있습니다. iptables의 출력은 실제로 삭제되고 있음을 보여줍니다.

그러나 이미 fail2ban-apache-xmlrpc 체인에서 일치하는 해당 IP 주소에 대해 손실 된 패킷이 없음을 관찰하고 있습니다. 물론 아파치 로그를 확인합니다.

$ tail /var/log/apache2/other_vhosts_access.log
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:43:53 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:43:54 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:43:56 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:43:57 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:43:58 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:43:59 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:44:00 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"
www.--SNIP--.com:80 80.82.70.239 - - [13/Jul/2013:02:44:02 +0000] "POST /xmlrpc.php HTTP/1.1" 403 474 "-" "-"

아니요, 차단되지 않습니다! 또한 fail2ban 로그에서이를 확인할 수 있습니다.

$ tail /var/log/fail2ban.log
2013-07-13 02:52:30,757 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned
2013-07-13 02:52:37,767 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned
2013-07-13 02:52:44,783 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned
2013-07-13 02:52:51,814 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned
2013-07-13 02:52:58,830 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned
2013-07-13 02:53:05,842 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned
2013-07-13 02:53:11,858 fail2ban.actions: WARNING [apache-xmlrpc] Unban 80.82.70.239
2013-07-13 02:53:12,910 fail2ban.actions: WARNING [apache-xmlrpc] Ban 80.82.70.239
2013-07-13 02:53:20,118 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned
2013-07-13 02:53:27,129 fail2ban.actions: WARNING [apache-xmlrpc] 80.82.70.239 already banned

아파치 로그에 계속 다시 나타나므로 fail2ban이 계속 금지하려고합니다!

iptables가 왜이 IP 주소에서 트래픽을 삭제하지 않는지 저의 삶을 솔직히 알 수 없습니다. 규칙 순서는 나에게 맞는 것 같습니다. DROP이 다른 것보다 우선합니다.

나는 사람들이 비슷한 문제를 겪고있는 많은 결과를 Google에 보냈지 만 항상 비표준 포트에있는 SSH 트래픽을 금지하는 문제로 되돌아 오는 것 같습니다. 제 경우에는 표준 http 포트 80에서 IP 주소를 차단하려고합니다.

나는 정말 단순한 것을 간과하고 있기를 바랍니다. Linode에서 Ubuntu 12.04를 실행하는 VPS입니다. 누구든지 아이디어가 있으면 알려주십시오. 많은 감사합니다 ...

편집 : 여기에 출력이 있습니다iptables -S

$ sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-apache-xmlrpc
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-apache-xmlrpc
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -j ACCEPT
-A fail2ban-apache-xmlrpc -s 80.82.70.239/32 -j DROP
-A fail2ban-apache-xmlrpc -j RETURN
-A fail2ban-ssh -s 223.4.147.8/32 -j DROP
-A fail2ban-ssh -j RETURN
ubuntu  iptables  fail2ban 
jsdalton
소스
의 결과는 iptables -s다음 형식보다 우리에게 더 도움 이 될 수 있습니다.iptables -L
Daniel Widrick
@ lVlint67-나는 iptables -S당신 을 위해 출력을 보여주기 위해 내 질문을 편집했습니다 . 그것이 당신에게 더 많은 통찰력을 제공하는지 알려주세요.
jsdalton
마지막 Apache 로그 항목은 02:44:02이고 IP가 금지되었다는 첫 번째 fail2ban 메시지는 02:52:30에 있으므로 작동하지 않는다는 증거는 보이지 않습니다. 해당 기간 동안 전체 fail2ban.log를 제공하십시오.
mgorven
fail2ban 로그에서 첫 번째 금지는 2:43에 있었지만 시간 불일치도 발견했습니다. 참고 : So now I restart fail2ban and observe the rules taking effect:차단 은 블록 에서 발생
Daniel Widrick

답변:

10

iptables -s출력 외모는 해결 방법 모르겠어요 80.82.70.239/32에 점점 any:80방화벽을 통해 서버에. 내 첫 번째 추측은 서버 앞에 프록시 /로드 밸런서가 있고 Apache가 HTTP_X_FORWARDED_FOR헤더 또는 호출 된 것을 로깅 한다는 것입니다. 이 경우 방화벽 논리를 프록시 /로드 밸런서로 또는 응용 프로그램 수준으로 낮추어야합니다 (아파치 FORWARDED_FOR헤더를 계산하고 액세스 거부).

어느 쪽이든 :

다음으로 취할 조치 iptables -s는 위에 게시 한 결과를 캡처하는 것 입니다. fail2ban을 비활성화하고 fail2ban 체인 및 IP 주소를 iptables에 차단하여 구성을로드하십시오.

그러나 첫 번째 -A규칙으로 다음을 수행하십시오 .

-A INPUT -p tcp --dport 80 -j LOG --log-prefix "HTTP: "

80과 443을 더 잘 잡는 것이 좋을 것입니다. FIREWALL의 로그에는 의심스러운 소스의 패킷에주의를 기울이면 누락 된 내용이 표시 될 수 있습니다.

다니엘 위드 릭
소스
3
니가 끝냈어. 나는 왜 내가 이것을 전에 생각하지 않았는지 모른다. 아파치는 Cloudflare 뒤에 실행하고 나는 아파치가 HTTP_FORWARDED_FOR IP 주소를 기록하도록 구성해야합니다. 실제 트래픽은 Cloudflare 서버를 통해 유입되므로 fail2ban / iptables를 사용하여 차단하려고 시도해도 작동하지 않습니다. 감사합니다!
jsdalton
우리는 캠퍼스에서 haproxy로드 밸런서를 사용하여 LB 및 HA를 처리하므로 설치 과정에서 발생하는 작은 '질병'에 익숙해졌습니다. Cloudflare가 무엇인지 모르지만 적절한 액세스 권한이 있으면 금지를로드 밸런서로 옮기는 것이 가능할 수 있습니다. ... 이것이 가능하지 않은 경우, Apache는 일부 방법으로 차단을 처리 할 수 ​​있지만 머리 위로 익숙하지 않습니다.
다니엘 Widrick
@jsdalton 당신이 끝내는 해결책은 무엇입니까? 지금 비슷한 보트에서.
Jay
@jay http 헤더를 검사해야하기 때문에 "Layer 7"필터링 또는 방화벽이라는 것을보고 있습니다. 그렇지 않은 경우로드 밸런서 / 프록시에서 시도를 차단할 수 있습니다 (제어중인 경우).
Daniel Widrick
1

iptables의 결과는 실제로 fail2ban 느낌이 필터링되고 삭제되어야하는 IP 주소에 대한 규칙이 있지만 fail2ban xmlrpc 체인을 통과 한 패킷이없고 실제로 해당 규칙에 의해 삭제 된 패킷이 없음을 보여줍니다. 대신, 해당 체인을 통과 한 224 개의 패킷이 모두 수락되었습니다.

즉, 규칙은 실제로 정확합니다. 그러나 fail2ban 필터 체인을 통하는 것보다 TCP 포트 80 규칙을 수락 한 트래픽이 더 많은 것으로 보입니다. 가장 가능성이 높은 이유는 fail2ban 체인이 아직 입력에 삽입되지 않은 상태에서 차단하려는 트래픽이 들어 왔기 때문입니다 (기본 규칙에는 해당 규칙이없는 것 같습니다).하지만 iptables를 다시로드하면 fail2ban 체인은 즉시 적용되지 않습니다).

실행 해보십시오 iptables -z패킷 수를 제로의 출력을 관찰하기 위해 iptables -nvL다시. 출력이 동일하지 않아야합니다. 또한 iptables ( /etc/iptables.firewall.rules) 의 초기 규칙에서 fail2ban 체인에 대한 규칙을 저장하는 것을 고려하십시오 . 다음과 같이 위임 규칙을 저장하십시오.

fail2ban-apache-xmlrpc  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443

또한 체인의 존재 (예 fail2ban-apache-xmlrpc:)는 저장하지만 실제로 금지 된 IP는 저장하지 마십시오.

팔콘 모모
소스
고마워 팔콘 iptables 규칙을 플러시하고 fail2ban을 다시 시작하고 fail2ban-apache-xmlrpc 규칙이 추가되기 몇 분 전일 수 있습니다. 그럼에도 불구하고 패킷 수를 0으로 설정하고 다시 확인하려고했습니다. 결과는 거의 같습니다. fail2ban-apache-xmlrpc 규칙으로 들어가는 모든 패킷이 반환되고 있으며 어떤 것도 제거되지 않습니다. 나는 나의 아파치 로그가 여전히 해당 IP 주소에서 들어오는 트래픽을 보여주고 있음을 확인 한다 낙하 될 수있다.
jsdalton
1

내 웹 사이트에서 당신과 정확히 같은 문제가있었습니다. 매우 유사한 설정, LAMP 스택, 몇 가지 기능적인 fail2ban 교도소이지만 여전히 금지 된 IP 주소가 액세스 로그 파일에 표시되는 것을 보았습니다. Apache 앞에 프록시 /로드 밸런서가 없습니다.

내 문제에 대한 해결책은 놀랍게도 간단했습니다 : 금지 문구를 iptables 구성 파일의 바로 위로 옮기십시오!

해동
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.