我正在运行一个 Ubuntu 服务器,使用 Postfix 作为邮件中继。为了防止暴力攻击,我安装了 Fail2Ban 并将其配置为查看/var/log/mail.log并相应地禁止 IP。我使用 Fail2Ban 附带的默认 Postfix 过滤器[FAIL2BAN_FOLDER]/filter.d/postfix.conf,将其配置为最严格的检测模式,以便它也能捕获 SASL 登录失败。
捕获失败的 Postfix 登录的正则表达式postfix.conf如下:
^[^[]*\[<HOST>\]%(_port)s: SASL ((?i)LOGIN|PLAIN|(?:CRAM|DIGEST)-MD5) authentication failed:(?! Connection lost to authentication server
它完美地捕获了所有失败的邮件中继登录,使用fail2ban-client status postfix将显示所有因暴力破解而被禁止的 IP。但是,当我检查时iptables --list,我得到的一些条目并没有禁止 IP 地址,而是禁止了域名。以下是一些示例:
target prot opt source destination
REJECT all -- vm5403.hv8.ru anywhere reject-with icmp-port-unreachable
REJECT all -- 179.185.35.150.static.gvt.net.br anywhere reject-with icmp-port-unreachable
我不iptables独立使用,只通过 Fail2Ban 使用。我应该担心这个问题吗?如果出现问题,我该怎么做才能纠正?
答案1
我不认为这是 fail2ban 实际做的事情,相反,我怀疑您因为iptables --list出于演示目的查找名称而感到困惑。
添加-n到您的iptables --list命令以禁用此功能。
摘自iptables手册(重点添加):
-L, --list [chain]
列出所选链中的所有规则。如果未选择任何链,则列出所有链。与其他 iptables 命令一样,它适用于指定的表(默认为过滤器),因此 NAT 规则通过
iptables -t nat -n -L列出
请注意,它通常与 -n 选项一起使用,以避免长时间的反向 DNS 查找。 指定 -Z(零)选项也是合法的,在这种情况下,链将自动列出并清零。确切的输出受给定的其他参数的影响。确切的规则将被抑制,直到您使用
iptables -L -v
或 iptables-save(8)。