1 votos

iptables no bloquea solo IPv6 en Ubuntu 20.04 con iptables-persistent, IPv4 OK

Tengo Ubuntu 20.04 VPS (LEMP) y he instalado iptables-persistent . En este servidor, he instalado fail2ban y configurado con CloudFlare para prohibir las IPs prohibidas por fail2ban. Además, uso el CSF. Utilizo un puerto SSH personalizado y lo configuro a través del CSF también. En Fail2ban jail.local acción, utilizo " iptables-allports ".

El problema es que cuando el Fail2ban dispara la acción de prohibición de IPv6, iptables-persistent no bloquea esa IPv6. Por ejemplo, si Fail2ban prohibió mi IPv6, todavía puedo conectarme a mi VPS a través de SSH o SFTP. Pero Cloudflare bloqueó con éxito el acceso HTTPS (puerto 443 y puerto 80).

Si Fail2ban prohibió IPv4, esa IP fue bloqueada con éxito por el iptables-persistent (incluyendo el puerto SSH personalizado).

¿Hay alguna forma de corregir este problema de IPv6?

1voto

El problema es que cuando el Fail2ban dispara la acción de prohibición de IPv6, iptables-persistent no bloquea esa IPv6.

No funciona así, y mucho menos iptables-persistent está dispuesto por razones totalmente diferentes, fail2ban no lo necesita todo. Y si utiliza iptables-allports banaction, fail2ban prohíbe las direcciones IPv4 utilizando iptables y direcciones IPv6 utilizando ip6tables .

Cloudflare es otra cosa completamente (no intentes mezclar plátanos y pepinos en un mismo tema).

¿Hay alguna forma de corregir este problema de IPv6?

  1. Tenga en cuenta que el soporte de IPv6 se proporciona por primera vez en fail2ban >= 0.10 (0.9 no lo soporta en absoluto).
  2. ¿Ves? [jail] Ban <some-ip-v6> en fail2ban.log?
  3. Si no lo hace, su filtro/failregex no es capaz de IPv6 y no coincide con las líneas. Debe encontrar la diferencia y arreglarla en failregex. Proporcione el extracto del registro con los fallos IPv6 y el failregex que estableció en fail2ban para ello.
  4. ¿Ves algunos errores en fail2ban.log si IPv6 es baneado?
  5. ¿Ves las cárceles y las entradas de IPv6 prohibidas en la salida de ip6tables -nL ?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: