Почему fail2ban добавляет в iptables имя сервера вместо ip?

Question

[Евгений Обыкновенный]

Chain f2b-sshd (1 references)
target     prot opt source               destination
REJECT     all  --  202.125.94.212       anywhere             reject-with icmp-port-unreachable
REJECT     all  --  static-mum-182.59.139.27.mtnl.net.in  anywhere             reject-with icmp-port-unreachable

Это нормально? Будет ли такое правило работать? Что если злоумышленник будет каждый раз менять название своего сервера?

Answer 1

[Виктор Голованенко]

fail2ban добавляет именно IP-адреса, но когда вы просматриваете цепочку правил фаервола, утилита iptables осуществляет обратный DNS-резолвинг IP-адресов (reverse DNS lookup) в цепочке и отображает их в виде доменов. Полагаю, что это было сделано из соображений удобочитаемости. Чтобы отключить такое поведение, передайте флаг -n, когда будете вызывать команду iptables.

Comments

[Евгений Обыкновенный]

Комментирующий выше пишет, что отключать usedns нужно на уровне fail2ban, Вы говорите, что имя хоста получает iptables только при выводе. Я запутался.

[Виктор Голованенко]

Евгений Обыкновенный, можете показать команду, которой вы выводите эти данные на экран?

[AlexVWill]

Евгений Обыкновенный, ничто не мешает решить вопрос обеими методами

[Евгений Обыкновенный]

Виктор Голованенко, команда iptables -L

[Valentin Barbolin]

Евгений Обыкновенный,
man iptables

iptables -t nat -n -L
Please note that it is often used with the -n option, in order to avoid long reverse DNS lookups.
-n, --numeric
Numeric output. IP addresses and port numbers will be printed in numeric format. By default, the program will try to display them as host names, network names, or services (whenever applicable).

Правильный ответ

fail2ban добавляет именно IP-адреса, но когда вы просматриваете

Соответственно просматривать надо через

iptables -nvL

[Евгений Обыкновенный]

Andrey Barbolin, usedns в fail2ban тогда за что отвечает?

[Valentin Barbolin]

Евгений Обыкновенный, По дефолту fail2ban добавляет в iptables ip адреса, если использовать эту опцию, то будут добавляться dns имена.

используя при выводе команду iptables -L поумолчанию iptables пытается преобразовать IP в имена для отображения в консоли, но по факту в твоем случае в iptables записаны IP адреса.

[Zeitgeber]

Попробуйте разные варианты вывода iptables -L / iptables -L -n и т.д. Там как угодно можно посмотреть, сразу скажу с -n имён не будет )