나는 최근에 새로운 데비안 서버에 실패2반(fail2ban)을 구현했는데, 이로 인해 일부 기본 iptables 구성이 자동으로 남았습니다.
root@plutarchy:/etc/apache2# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 2222 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
이제 fall2ban을 실행하고 싶지 않은 오래된 iptables 규칙을 추가하면 다음과 같이 끝납니다.
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N fail2ban-ssh
-A INPUT -p tcp -m multiport --dports 2222 -j fail2ban-ssh
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 2222 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
-A fail2ban-ssh -j RETURN
다음 줄을 추가해야 합니다.-A 입력 -p tcp --dport 2222 -j 수락아니면 상자에 SSH를 연결할 수 없습니다.
이 줄을 삽입하면 Fail2ban이 여전히 ssh(포트 2222)를 보호합니까? 그렇지 않은 경우 정상 작동을 위해 포트 80을 열 때 ssh가 여전히 failure2ban을 통과하도록 하려면 어떻게 해야 합니까?
답변1
가장 좋은 방법은 22번 포트 대신 2222번 포트가 필터링되도록 Fail2ban 구성을 수정하는 것입니다.