我使用fail2ban / firewalld来限制对Nginx服务器的类似bot的访问.通常,相应jail的配置如下所示:
[nginx-botsearch]
#banaction = iptables-multiport
enabled = true
filter = nginx-botsearch
logpath = /var/log/nginx*/*access*.log
maxretry = 3
bantime = 3600
这按预期工作(banaction默认为firewallcmd-ipset),即iptables -L命令在INPUT_direct链中显示一个条目:
REJECT tcp -- anywhere anywhere multiport dports http,https match-set fail2ban-nginx-botsearch src reject-with icmp-port-unreachable
使用fail2ban-nginx-botsearch的相应ipset.
然而,当bantime增加时,我注意到一种奇怪的行为.一切都按预期的方式工作< = 4294967.当我设置bantime = 4294968并重新加载fail2ban服务时,缺少iptables输出中的条目(未创建ipset)实际上,使用例如ab实用程序进行测试显示该禁令未得到执行.有趣的是,使用banaction = iptables-multiport甚至可以用于“大型”bantimes.这种行为可能是什么原因?我在CentOS 7上使用fail2ban v 0.9.7.
最佳答案
这不是严格的fail2ban相关问题,而是内核中netfilter代码中的一个错误.简而言之,您的ipset版本对于timeout参数有一个整数溢出,因此当它超过32位整数时会看到不可预测的行为.
您没有看到多端口,因为它不使用此代码,而是依靠自己的设备来跟踪超时.
这是netfilter代码中针对此问题的补丁的link.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。