Iptables(~fail2ban) почему ложно блокирует IP?

Question

[icell76]

Всех приветствую. На моем дедике есть проблемы. В правила iptables DROP определенные IP клиентов. Они ничего хакерского не совершают. И в чем фишка, то что правило о блокировке определенного IP может записываться по 100 раз. Есть подозрения, что блокирует fail2ban. А также возможно банит, потому что человек подключается к IP с разных портов. Серьезных правил в iptables нет, поэтому оно не должно блокироваться. Можно ли как-то узнать, какое правило заносит в бан?

Comments

[АртемЪ]

А что написано в fail2ban/jail.conf покажите.

А вообще fail2ban решение неплохое, но во первых не для всех ситуаций, а во вторых его нужно тонко настраивать под ситуацию.

Answer 1

[Дмитрий]

fail2ban должен писать лог, в зависимости от того как это настроено лог он может писать в свой /var/log/fail2ban.log либо в системный /var/log/syslog
далее, надо проверить какой в jail заносит адрес клиента.
что за таблица в firewall ?
либо по jail-ам посмотреть, например

mail2@~ $ sudo fail2ban-client status
Status
|- Number of jail:	6
`- Jail list:	dovecot, postfix, postfix-auth, postfix-dmitryg, roundcube, sshd

mail2@~ $ sudo fail2ban-client get postfix banip
195.154.105.61 194.150.215.153 192.168.210.228 93.179.68.35 77.221.146.179 93.186.200.196 62.141.41.5 62.141.46.147 185.17.144.239 212.32.240.228 37.48.90.115 185.17.146.178 85.143.173.42 81.16.141.145

Comments

[Дмитрий]

дописываю.
после того как узнали в какой jail попадает клиент, можно знать какой фильтр срабатывает и либо добавить строку в исключения в этот фильтр, либо если клиент прям ценный добавить его в whitelist