Как заблокировать 22 при помощи iptables для eth1?

Question

[Svav]

Есть 2 сетевых интерфейса eth0 и eth1. Установлен fail2ban.
Прописываю iptables -A INPUT -i eth1 -p tcp --dport 22 -j DROP
и никакой реакции не происходит.
root@ubuntu:~# iptables -L -n -v
Chain INPUT (policy ACCEPT 7 packets, 536 bytes)
pkts bytes target prot opt in out source destination
3949 391K fail2ban-ssh tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
0 0 DROP tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 5 packets, 760 bytes)
pkts bytes target prot opt in out source destination

Chain fail2ban-ssh (1 references)
pkts bytes target prot opt in out source destination
27 1236 REJECT all -- * * 49.117.147.92 0.0.0.0/0 reject-with icmp-port-unreachable
14 916 REJECT all -- * * 222.73.119.253 0.0.0.0/0 reject-with icmp-port-unreachable
19 1420 REJECT all -- * * 119.146.221.68 0.0.0.0/0 reject-with icmp-port-unreachable
46 3328 REJECT all -- * * 23.101.134.88 0.0.0.0/0 reject-with icmp-port-unreachable
57 3828 REJECT all -- * * 52.28.207.152 0.0.0.0/0 reject-with icmp-port-unreachable
82 5752 REJECT all -- * * 183.3.202.106 0.0.0.0/0 reject-with icmp-port-unreachable
51 3480 REJECT all -- * * 208.67.1.2 0.0.0.0/0 reject-with icmp-port-unreachable
21 2400 REJECT all -- * * 104.40.21.211 0.0.0.0/0 reject-with icmp-port-unreachable
132 6592 REJECT all -- * * 162.255.86.117 0.0.0.0/0 reject-with icmp-port-unreachable
18 1496 REJECT all -- * * 218.87.109.253 0.0.0.0/0 reject-with icmp-port-unreachable
18 2024 REJECT all -- * * 115.231.9.148 0.0.0.0/0 reject-with icmp-port-unreachable
27 2028 REJECT all -- * * 52.34.171.0 0.0.0.0/0 reject-with icmp-port-unreachable
3278 345K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0

Answer 1

[Михаил Конюхов]

# iptables -I INPUT -i eth1 -p tcp -d ip.на.eth.1 --dport 22 -j DROP

Comments

[Svav]

Не помогло.
Правило добавилось, но реакции нету.

Answer 2

[Владимир]

скорей всего прилетает с другого интерфейса
все что пролетит мимо цепочки fail2ban ляжет в syslog по правилу
iptables -I INPUT 2 -p tcp --dport 22 -j LOG
вот там и смотрите через какой интерфейс летело

вообще нужно посмотреть все привила, т.к. таблица NAT может директнуть пакет так что он в INPUT filter вообще не попадает
и не забывать про ipv6

iptables-save -c
ip6tables-save -c

Comments

[Svav]

iptables-save -c
# Generated by iptables-save v1.4.21 on Sat Feb 6 07:36:09 2016
*nat
:PREROUTING ACCEPT [7222:882223]
:INPUT ACCEPT [6400:826283]
:OUTPUT ACCEPT [151:11573]
:POSTROUTING ACCEPT [151:11573]
[0:0] -A POSTROUTING -s 10.1.11.0/24 -o eth0:1 -j MASQUERADE
COMMIT
# Completed on Sat Feb 6 07:36:09 2016
# Generated by iptables-save v1.4.21 on Sat Feb 6 07:36:09 2016
*filter
:INPUT ACCEPT [248:51410]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [41:7083]
:fail2ban-ssh - [0:0]
[4576:451281] -A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
[27:1236] -A fail2ban-ssh -s 49.117.147.92/32 -j REJECT --reject-with icmp-port-unreachable
[14:916] -A fail2ban-ssh -s 222.73.119.253/32 -j REJECT --reject-with icmp-port-unreachable
[19:1420] -A fail2ban-ssh -s 119.146.221.68/32 -j REJECT --reject-with icmp-port-unreachable
[46:3328] -A fail2ban-ssh -s 23.101.134.88/32 -j REJECT --reject-with icmp-port-unreachable
[57:3828] -A fail2ban-ssh -s 52.28.207.152/32 -j REJECT --reject-with icmp-port-unreachable
[90:6232] -A fail2ban-ssh -s 183.3.202.106/32 -j REJECT --reject-with icmp-port-unreachable
[51:3480] -A fail2ban-ssh -s 208.67.1.2/32 -j REJECT --reject-with icmp-port-unreachable
[21:2400] -A fail2ban-ssh -s 104.40.21.211/32 -j REJECT --reject-with icmp-port-unreachable
[132:6592] -A fail2ban-ssh -s 162.255.86.117/32 -j REJECT --reject-with icmp-port-unreachable
[3897:405617] -A fail2ban-ssh -j RETURN
COMMIT
# Completed on Sat Feb 6 07:36:09 2016

И проблема не в fail2ban, а мне просто нужно закрыть порт на eth1

[Владимир]

я и не говорил что проблема в fail2ban
просто зачем логгировать то что и так заблочится
поэтому добавляем LOG ниже

[Svav]

Не пойму для чего это.
Мне просто нужно заблокировать 22 порт на eth1.

[Владимир]

для того чтоб выяснить почему оно у вас не блокируется по
iptables -A INPUT -i eth1 -p tcp --dport 22 -j DROP

[Svav]

Где логи искать?

[Владимир]

/var/log/syslog
/var/log/messages