我运行一个有奇怪问题的CentOS 5.7 64位服务器。
当我在/var/log/secure看我的日志的时候,我注意到一个奇怪的IP试图连接到很多奇怪用户名的ssh。
日志的输出: http : //pastebin.com/raw.php?i=3uYjPrLL
我运行已经阻止这个IP的fail2ban,并且我也通过iptables手动再次阻止了这个IP。
运行iptables -n -L我得到这个输出:
Chain fail2ban-SSH (1 references) target prot opt source destination DROP all -- 50.115.166.129 0.0.0.0/0 RETURN all -- 0.0.0.0/0 0.0.0.0/0
所以这个区块已经到位了。 Iptables也在运行,我已经通过iptables阻止了很多IP,而且这些块都工作正常。
但不知何故,这个IP是能够到我的机器。 任何想法如何这是可能的?
问题是你的fail2ban-SSH链被应用到端口22的stream量,而不是你的sshd正在监听的地方。 所以fail2ban从auth日志中挑选失败,并正确更新拒绝链。 但是sshstream量永远不会被发送到这个链条,所以你现在被阻止与22港口交谈的渎神者仍然可以在2222年与sshd交谈。
假设你使用的是标准的CentOS /etc/sysconfig/iptables ,你需要改变filter部分中的行,
-A INPUT -p tcp --dport 22 -j fail2ban-SSH
说
-A INPUT -p tcp --dport 2222 -j fail2ban-SSH
至于你的手动放置,你已经把它添加在说的行后面
689M 126G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
和
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 state NEW
所以它将不会被调用来限制到端口2222的新stream量,或者任何这样的连接中的后续分组,如已经被允许的那样。 规则的顺序在iptables中至关重要 ,因为第一个方块匹配胜出。