Я хочу использовать ufw и fail2ban для блокирования сканирования портов. После того, как я устанавливаю их, fail2ban показал, что некоторый IP был заблокирован, но на самом деле нет. Я определил местоположение проблемы к ufw, потому что fail2ban действительно запрещает IP, кто хочет взломать ssh.
результат ifconfig: (возможно, полезный? Я скрываю реальный IP-адрес),
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:15111490 errors:0 dropped:0 overruns:0 frame:0
TX packets:15111490 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1089923226 (1.0 GB) TX bytes:1089923226 (1.0 GB)
venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:127.0.0.2 P-t-P:127.0.0.2 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: xxxxxxxxxxxxx/128 Scope:Global
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
RX packets:325172 errors:0 dropped:0 overruns:0 frame:0
TX packets:720857 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:114732548 (114.7 MB) TX bytes:196756412 (196.7 MB)
venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:xxxxxxxxxx P-t-P:xxxxxxxxxx Bcast:xxxxxxxxxx Mask:255.255.255.255
UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1
порт блока 8923
ufw deny 8923
ufw deny out 8923
Выполненный ufw status verbose
:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip
To Action From
-- ------ ----
8923 DENY IN Anywhere
8923 (v6) DENY IN Anywhere (v6)
8923 DENY OUT Anywhere
8923 (v6) DENY OUT Anywhere (v6)
Выполненный iptables -L
:
Chain INPUT (policy DROP)
target prot opt source destination
f2b-sshd tcp -- anywhere anywhere multiport dports 29240
ACCEPT tcp -- anywhere anywhere tcp dpt:29240
ufw-before-logging-input all -- anywhere anywhere
ufw-before-input all -- anywhere anywhere
ufw-after-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-reject-input all -- anywhere anywhere
ufw-track-input all -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
ufw-before-logging-forward all -- anywhere anywhere
ufw-before-forward all -- anywhere anywhere
ufw-after-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-reject-forward all -- anywhere anywhere
ufw-track-forward all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:29240
ACCEPT tcp -- anywhere anywhere tcp spt:29240
ufw-before-logging-output all -- anywhere anywhere
ufw-before-output all -- anywhere anywhere
ufw-after-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
ufw-reject-output all -- anywhere anywhere
ufw-track-output all -- anywhere anywhere
....
Chain ufw-user-input (1 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:8923
DROP udp -- anywhere anywhere udp dpt:8923
Chain ufw-user-output (1 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:8923
DROP udp -- anywhere anywhere udp dpt:8923
Я выполняю веб-сайт на 8 923, но curl myhost:8923
все еще может добраться index.html
.
Мой vps является openvz человечностью 14.04, хост является ядром Redhat 2.6, и я получаю эту статью https://blog.kylemanna.com/linux/ufw-vps/
Это говорит, что 2.6 openvz могут иметь некоторую проблему (но моя машина не получает предупреждающее сообщение /lib/ufw/ufw-init force-reload
). Хотя я попробовал ту конфигурацию, никакую работу.
Во-первых, необходимо знать, что openvz плохо поддерживается в Ubuntu. Ubuntu использует LXC (что бы там ни было). Если Вы хотите использовать openvz, я высоко советую использовать .rpm систему, поскольку патч ядра записан для ядра RHEL/Fedora, и можете, или может не иметь проблем о debian/ubuntu ядрах.
В некоторой степени openvz обесценивается на хостах Debian/Ubuntu.
Второй, как Вы знаете, iptables работает?
В-третьих, если бы iptables работает, я использовал бы iptables скорее затем UFW.
Если Вы нуждаетесь в помощи с UFW / iptables, необходимо отправить все правила и любую дополнительную информацию, которую можно дать мне после того, чтобы читать мои страницы блога.
См. http://blog.bodhizazen.com/linux/how-to-use-ufw-in-openvz-templates/
http://blog.bodhizazen.com/linux/proxmox-using-iptables-in-openvz-guests/
Что размещает ОС? У Вас есть корневой доступ на хосте?
Какое ядро Вы выполняете? Который openvz исправляют - https://wiki.openvz.org/Download/kernel