IPFW: IP bloccato, ma può ancora entrare

1

Sto usando Fail2Ban per aggiungere dinamicamente regole a IPFW. Gli indirizzi IP offensivi vengono aggiunti in IPFW, ma per alcuni motivi sconosciuti possono ancora passare ad Apache e fare richieste.

È perché l'ordine è rovinato? Le regole dinamiche > 12407 devono essere posizionate prima del 12304, 12305?

  • 00001 consenti l'udp da qualsiasi 626 a qualsiasi dst-port 626
  • 01000 consente l'ip da qualsiasi a qualsiasi tramite lo0
  • ...
  • 12300 consente il comando TCP da qualsiasi a qualsiasi
  • stabilito
  • 12301 consenti a tcp da qualsiasi a qualsiasi
  • 12302 consenti a udp di uscire da qualsiasi stato di conservazione
  • 12303 consenti l'udp da qualsiasi a qualsiasi in frag
  • 12304 consenti a tcp di passare a qualsiasi porta dst 80
  • 12305 consenti a tcp di passare a qualsiasi porta 444
  • 12306 consente il comando TCP da qualsiasi a qualsiasi porta dst-port 5113
  • 12307 consenti l'ip da 192.168.0.0/16 a qualsiasi
  • 12407 nega tcp da 94.23.148.61 a 192.168.1.3 dst-port 80.443
  • ...
  • 65535 consenti ip da qualsiasi a qualsiasi
posta charleslcso 09.10.2012 - 09:12
fonte

1 risposta

0

È perché le regole sono seguite da cima a fondo. Non appena vengono trovate le prime regole di corrispondenza, si interrompe l'ulteriore elaborazione delle regole.

In questo caso c'è prima la regola allow (12304 consenti a tcp da any a any dst-port 80) e successivamente la deny rule (12407 nega tcp da 94.23.148.61 a 192.168.1.3 dst-port 80.443).

Per risolvere questo problema: posiziona la regola di negazione sopra la regola di autorizzazione per le porte 80 e 442 (numero < 12304) o posiziona le regole di autorizzazione per le porte 80 e 443 al di sotto delle regole di negazione (fe a 65533 e 65534).

    
risposta data 09.10.2012 - 15:28
fonte

Leggi altre domande sui tag