Fail2ban почему не блокируется порт?

Question

[Андрей]

имеем debian12+postfix+dovecot+iptables
Необходимо защитить imap+pop3 от перебора с использование идущего в комплекте фильтра

Создаем mcedit /etc/fail2ban/jail.local

[dovecot]
enabled = true
filter = dovecot
port = imap,imaps,pop3,pop3s
action = iptables-multiport[name=dovecot, port="imap,imaps,pop3,pop3s", protocol=tcp]
bantime = 60m
maxretry = 3
findtime = 60m

ломимся на 143 tcp с неверным паролем - видим

2024-11-13 11:25:49,381 fail2ban.jail           [1658152]: INFO    Jail 'modoboa' started
2024-11-13 11:25:49,383 fail2ban.filtersystemd  [1658152]: INFO    [modoboa] Jail is in operation now (process new journal entries)
2024-11-13 11:25:49,428 fail2ban.filter         [1658152]: INFO    [dovecot] Found 193.105.37.198 - 2024-11-13 11:08:39
2024-11-13 11:25:49,429 fail2ban.filter         [1658152]: INFO    [dovecot] Found 193.105.37.198 - 2024-11-13 11:22:05
2024-11-13 11:25:49,429 fail2ban.filtersystemd  [1658152]: INFO    [dovecot] Jail is in operation now (process new journal entries)
2024-11-13 11:25:49,751 fail2ban.actions        [1658152]: NOTICE  [dovecot] Restore Ban 193.105.37.198

Блокировка отработала

смотрю iptables
iptables -L -n --line

Вижу появилось следующее правило

Chain f2b-dovecot (1 references)
num  target     prot opt source               destination
1    REJECT     0    --  193.105.37.198       0.0.0.0/0            reject-with icmp-port-unreachable
2    RETURN     0    --  0.0.0.0/0            0.0.0.0/0

По идее должен быть заблочен именно 143? А не все целиком ?

Comments

[Ivan Ustûžanin]

эта цепочка откуда-то вызывается, вероятно порты прописаны там?

Answer 1

[Андрей]

Все оказалось просто тупо не увидел создавшееся в цепочке input правило. Все ок, все работает!