IPFW: IP bloqueada, pero aún puede entrar

1

Estoy usando Fail2Ban para agregar reglas dinámicamente a IPFW. Las direcciones IP ofensivas se agregan a IPFW, pero por algunas razones desconocidas aún pueden comunicarse con Apache y realizar solicitudes.

¿Es porque el pedido está arruinado? ¿Deben colocarse las reglas dinámicas > 12407 antes de 12304, 12305?

  • 00001 permite udp desde cualquier 626 a cualquier dst-port 626
  • 01000 permite ip desde cualquiera a cualquier vía lo0
  • ...
  • 12300 permite tcp de cualquiera a cualquiera establecido
  • 12301 permite tcp de cualquiera a cualquier salida
  • 12302 permite udp desde cualquiera a cualquier estado de mantenimiento
  • 12303 permite udp de cualquiera a cualquiera en frag
  • 12304 permite tcp desde cualquiera a cualquier dst-port 80
  • 12305 permite tcp desde cualquiera a cualquier dst-port 443
  • 12306 permite tcp desde cualquiera a cualquier dst-port 5113
  • 12307 permite ip desde 192.168.0.0/16 a cualquier
  • 12407 denegar TCP desde 94.23.148.61 a 192.168.1.3 dst-port 80.443
  • ...
  • 65535 permitir ip de cualquiera a cualquiera
pregunta charleslcso 09.10.2012 - 09:12

1 respuesta

0

Es porque las reglas se siguen de arriba a abajo. Tan pronto como se encuentran las primeras reglas coincidentes, se detiene el procesamiento de las reglas.

En este caso, primero está la regla de permiso (12304 permite tcp de cualquiera a cualquier puerto dst 80) y luego la regla de denegación (12407 deniega tcp de 94.23.148.61 a 192.168.1.3 dst-puerto 80.443).

Para solucionar esto: coloque la regla de denegación por encima de la regla de permiso para los puertos 80 y 442 (número < 12304) o coloque las reglas de autorización para el puerto 80 y 443 debajo de las reglas de denegación (fe en 65533 y 65534).

    
respondido por el Pro Backup 09.10.2012 - 15:28

Lea otras preguntas en las etiquetas