Iptables 没有阻止子网?

Iptables 没有阻止子网?

我的电子邮件服务器上的 Fail2ban 刚刚禁止了以下攻击性地址:

REJECT     all  --  *      *       185.211.245.198      0.0.0.0/0            reject-with icmp-port-unreachable

但是,我在 fail2ban 链中已经激活了以下规则:

REJECT     all  --  *      *       185.211.0.0/16       0.0.0.0/0            reject-with icmp-port-unreachable

以下是 iptables -vnL 的输出(仅适用于链 INPUT 和 f2b-zimbra-smtp):

Chain INPUT (policy DROP 66463 packets, 11M bytes)
 pkts bytes target     prot opt in     out     source               destination
 150K   54M f2b-zimbra-smtp  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,465
 149K   54M f2b-zimbra-smtp  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,465
 149K   54M f2b-zimbra-smtp  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,465
6600K 7170M ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
 483K  696M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
 2403  132K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
50273 2076K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
  495 21612 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
61597 2470K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
44944 1799K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:465
45134 1815K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:587
45193 1812K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:993
44853 1796K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:995

Chain f2b-zimbra-smtp (3 references)
 pkts bytes target     prot opt in     out     source               destination
    7   420 REJECT     all  --  *      *       185.211.245.198      0.0.0.0/0            reject-with icmp-port-unreachable
...
   15   900 REJECT     all  --  *      *       185.211.0.0/16       0.0.0.0/0            reject-with icmp-port-unreachable

因此,显然 185.211.0.0/16 子网的规则不起作用。有人能解释一下原因吗?

谢谢。

相关内容