linux – 使用fail2ban的最大bantime

Linux 2020-06-17
我使用fail2ban / firewalld来限制对Nginx服务器的类似bot的访问.通常,相应jail的配置如下所示: 
[Nginx-botsearch]
#banaction = iptables-multiport
enabled = true
filter = Nginx-botsearch
logpath = /var/log/Nginx*/*access*.log
maxretry = 3
bantime = 3600

这按预期工作(banaction认为firewallcmd-ipset),即iptables -L命令在INPUT_direct链中显示一个条目:

REJECT     tcp  --  anywhere             anywhere             multiport dports http,https match-set fail2ban-Nginx-botsearch src reject-with icmp-port-unreachable

使用fail2ban-Nginx-botsearch的相应ipset.

然而,当bantime增加时,我注意到一种奇怪的行为.一切都按预期的方式工作< = 4294967.当我设置bantime = 4294968并重新加载fail2ban服务时,缺少iptables输出中的条目(未创建ipset)实际上,使用例如ab实用程序进行测试显示该禁令未得到执行.有趣的是,使用banaction = iptables-multiport甚至可以用于“大型”bantimes.这种行为可能是什么原因?我在CentOS 7上使用fail2ban v 0.9.7.

解决方法

这不是严格的fail2ban相关问题,而是内核中netfilter代码中的一个错误.简而言之,您的ipset版本对于timeout参数有一个整数溢出,因此当它超过32位整数时会看到不可预测的行为.

您没有看到多端口,因为它不使用此代码,而是依靠自己的设备来跟踪超时.

这是netfilter代码中针对此问题的补丁的link.

相关文章

基于LAMP搭建WordPress博客
1、安装Apache。 1)执行如下命令,安装Apache服务及其扩展包...
ansible批量采集、批量互信、批量复制、分发文件
一、先说一下用ansible批量采集机器信息的实现办法: 1、先把...
vsftpd配置FTP服务器(Centos7.x安装)
安装配置 1. 安装vsftpd 检查是否安装了vsftpd # rpm -qa | ...
抑制stable_secret读取关键信息
如何抑制stable_secret读取关键的“net.ipv6.conf.all.stabl...
Linux值得收藏的40个命令总结,常用的正则表达式
1 删除0字节文件 find -type f -size 0 -exec rm -rf {} ...
在Centos7上安装PXE装机环境来批量安装操作系统
## 步骤 1:安装必要的软件包 首先,需要确保系统已安装 `dh...