永久禁止 IP 时 fail2ban 的行为异常

Question 1

这是旧版 fail2ban 的一个错误。它已经修复，但如果您的 Linux 发行版仍使用旧版本，您可能还需要一个解决方法。

这GitHub 问题它解释了问题并修复了它，还提供了一种解决方法：

新版本已修复此问题。对于 0.9，您只需在 jail 内的操作中覆盖 bantime（超时）参数即可（ipset 持久规则的参数超时为 0）。
[sshd]
bantime = -1
action = %(banaction)s[name=%(__name__)s, bantime=0, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

Answer

这是旧版 fail2ban 的一个错误。它已经修复，但如果您的 Linux 发行版仍使用旧版本，您可能还需要一个解决方法。

这GitHub 问题它解释了问题并修复了它，还提供了一种解决方法：

新版本已修复此问题。对于 0.9，您只需在 jail 内的操作中覆盖 bantime（超时）参数即可（ipset 持久规则的参数超时为 0）。
[sshd]
bantime = -1
action = %(banaction)s[name=%(__name__)s, bantime=0, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]

Question 2

ipset 的最小超时时间只能为 0，最大超时时间只能为 2147483，请参见http://ipset.netfilter.org/ipset.man.html

timeout 所有集合类型在创建集合并添加条目时都支持可选的 timeout 参数。create 命令的 timeout 参数值表示新条目的默认超时值（以秒为单位）。如果创建集合时支持超时，则在添加条目时可以使用相同的 timeout 选项来指定非默认超时值。零超时值表示条目将永久添加到集合中。可以使用 -exist 选项重新添加元素来更改已添加元素的超时值。最大可能的超时值为 2147483（以秒为单位）。

用于创建 ipset 超时的值是 conf 值 bantime。由于 bantime conf 值中有一个 -1，所以您的系统在为 fail2ban 的 jails 创建 ipset 时出现错误，因为没有创建 ipset，因为您实际上是让系统运行如下内容：

ipset create fail2ban-sshd hash:ip timeout -1

可接受的超时值范围是 0-2147483 秒。之后，在没有名为 fail2ban-sshd 的 ipset 的情况下运行以下命令：

firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 0 -p tcp -m multiport --dports http,https -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable

或者：

iptables -t filter -I INPUT_direct 1 -p tcp -m multiport --dports http,https -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable

肯定会失败，因为没有创建名为 fail2ban-sshd 的 ipset。您必须将 -1 bantime 更改为 0。

Answer