我刚刚安装了Ubuntu Server 14.04,并没有太多的IPtables的经验。 我试图得到一个基本的设置,我只接受端口22和2222上的SSH连接。实际上我使用fail2ban ssh没有问题。 然后,我想阻止除423和4242之外的其他所有端口,但是删除所有未列出的连接的方法似乎都不起作用,并且阻止了我的一切。 以下是工作的设置:
-P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22,2222 -j fail2ban-ssh -A fail2ban-ssh -j RETURN 我试图改变它:
-P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22,2222 -j fail2ban-ssh -A fail2ban-ssh -j RETURN
要么:
-P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22,2222 -j fail2ban-ssh -A INPUT -j DROP -A fail2ban-ssh -j RETURN
我已经注意到fail2ban-ssh的规则会在启动时自动添加到我的iptables中,因为如果我使用iptables-persistant保存它们,则会input两次。 我如何去阻止所有使用fail2ban接受这两个端口? 这是一个不好的fail2banconfiguration,或者我需要添加
fail2ban-ssh -j Return
在我的代码中的其他地方。
您需要实际允许您连接的其他规则,因为创buildfail2ban-ssh链是为了从fail2ban程序中添加新的规则。
工作示例:
-P INPUT DROP -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22,2222 -s <YOUR-IP> -j ACCEPT -A INPUT -p tcp -m multiport --dports 22,2222 -j fail2ban-ssh -A fail2ban-ssh -j RETURN
这个问题与fail2ban没有什么关系。 在你的“有效的设置”中,除了被fail2ban程序禁止之外,任何连接都可以工作到任何端口。