IPFW: IP bloqueada, pero todavía puede entrar

1

Estoy usando Fail2Ban para agregar reglas dinámicamente a IPFW. Las direcciones IP ofensivas se agregan a IPFW, pero por algunas razones desconocidas aún pueden comunicarse con Apache y realizar solicitudes.

¿Es porque el pedido está arruinado? ¿Deben colocarse las reglas dinámicas & gt; 12407 antes de 12304, 12305?

  • 00001 permite udp desde cualquier 626 a cualquier puerto dst 626
  • 01000 permite ip desde cualquiera a cualquier vía lo0
  • ...
  • 12300 permite tcp de cualquiera a cualquier establecido
  • 12301 permite tcp de cualquiera a cualquier salida
  • 12302 permite udp de cualquiera a cualquier estado de mantenimiento.
  • 12303 permite udp de cualquiera a cualquiera en frag.
  • 12304 permite tcp desde cualquiera a cualquier dst-puerto 80
  • 12305 permite tcp desde cualquiera a cualquier dst-port 443
  • 12306 permite tcp desde cualquiera a cualquier dst-port 5113
  • 12307 permite ip desde 192.168.0.0/16 a cualquier
  • 12407 deniega el TCP desde 94.23.148.61 hasta 192.168.1.3 puerto dst 80.443
  • ...
  • 65535 permite ip de cualquiera a cualquiera
charleslcso
fuente

Respuestas:

0

Es porque las reglas se siguen de arriba a abajo. Tan pronto como se encuentran las primeras reglas coincidentes, se detiene el procesamiento de la regla.

En este caso, primero está la regla de permiso (12304 permite tcp de cualquiera a cualquier puerto dst 80) y luego la regla de denegación (12407 niega tcp de 94.23.148.61 a 192.168.1.3 puerto dst 80.443).

Para solucionar esto: coloque la regla de denegación sobre la regla de permiso para el puerto 80 y 442 (número & lt; 12304) o coloque las reglas de autorización para el puerto 80 y 443 debajo de las reglas de denegación (es decir, en 65533 y 65534).

Pro Backup
fuente