我正在使用iptables-persistent包在启动时重新加载我的iptables。 我一直在想,我应该添加fail2ban规则到加载的configuration文件? 现在我看到他们是重复的。
这是我的防火墙configuration:
*filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :fail2ban-ssh - [0:0] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh # Accepts SSH connection -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT # HTTP -A INPUT -p tcp --dport 80 -j ACCEPT # SSH -A INPUT -p tcp --dport 22 -j ACCEPT # MariaDB (private network) -A INPUT -i eth1 -p tcp -m tcp --dport 3306 -j ACCEPT # loopback device -I INPUT 1 -i lo -j ACCEPT # Allow ping -A INPUT -p icmp -j ACCEPT # Drops all remaining traffic -A INPUT -j DROP -A fail2ban-ssh -j RETURN COMMIT 当我重新启动并运行iptables -S时,fail2ban行被复制:
-P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT -N fail2ban-ssh -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -j DROP -A fail2ban-ssh -j RETURN -A fail2ban-ssh -j RETURN
那么我应该从configuration中删除这2个fail2ban行吗?
不要打扰。 fail2ban保持自己的状态,并在重新启动时重新创build防火墙规则。