@Svav

Как заблокировать 22 при помощи iptables для eth1?

Есть 2 сетевых интерфейса eth0 и eth1. Установлен fail2ban.
Прописываю iptables -A INPUT -i eth1 -p tcp --dport 22 -j DROP
и никакой реакции не происходит.
root@ubuntu:~# iptables -L -n -v
Chain INPUT (policy ACCEPT 7 packets, 536 bytes)
pkts bytes target prot opt in out source destination
3949 391K fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
0 0 DROP tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5 packets, 760 bytes)
pkts bytes target prot opt in out source destination

Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
27 1236 REJECT all -- * * 49.117.147.92 0.0.0.0/0 reject-with icmp-port-unreachable
14 916 REJECT all -- * * 222.73.119.253 0.0.0.0/0 reject-with icmp-port-unreachable
19 1420 REJECT all -- * * 119.146.221.68 0.0.0.0/0 reject-with icmp-port-unreachable
46 3328 REJECT all -- * * 23.101.134.88 0.0.0.0/0 reject-with icmp-port-unreachable
57 3828 REJECT all -- * * 52.28.207.152 0.0.0.0/0 reject-with icmp-port-unreachable
82 5752 REJECT all -- * * 183.3.202.106 0.0.0.0/0 reject-with icmp-port-unreachable
51 3480 REJECT all -- * * 208.67.1.2 0.0.0.0/0 reject-with icmp-port-unreachable
21 2400 REJECT all -- * * 104.40.21.211 0.0.0.0/0 reject-with icmp-port-unreachable
132 6592 REJECT all -- * * 162.255.86.117 0.0.0.0/0 reject-with icmp-port-unreachable
18 1496 REJECT all -- * * 218.87.109.253 0.0.0.0/0 reject-with icmp-port-unreachable
18 2024 REJECT all -- * * 115.231.9.148 0.0.0.0/0 reject-with icmp-port-unreachable
27 2028 REJECT all -- * * 52.34.171.0 0.0.0.0/0 reject-with icmp-port-unreachable
3278 345K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
  • Вопрос задан
  • 363 просмотра
Пригласить эксперта
Ответы на вопрос 2
piromanlynx
@piromanlynx
Системный администратор в Perfect Solutions
# iptables -I INPUT -i eth1 -p tcp -d ip.на.eth.1 --dport 22 -j DROP
Ответ написан
скорей всего прилетает с другого интерфейса
все что пролетит мимо цепочки fail2ban ляжет в syslog по правилу
iptables -I INPUT 2 -p tcp --dport 22 -j LOG
вот там и смотрите через какой интерфейс летело

вообще нужно посмотреть все привила, т.к. таблица NAT может директнуть пакет так что он в INPUT filter вообще не попадает
и не забывать про ipv6
iptables-save -c
ip6tables-save -c
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы