Конфигурация Fail2ban для nginx с использованием firewallcmd в CentOS 7
Ранее у меня был CentOS 6.5 с Iptables, и я настраивал некоторые тюрьмы для nginx, как предложено здесь: Как использовать fail2ban для Nginx?,
Но сейчас я нахожусь в CentOS 7, пытаясь использовать новый межсетевой экран и последнюю версию fail2ban. Я знаю, что есть новый firewallcmd-ipset.conf, Но мне интересно, как код вышеуказанной ссылки должен быть адаптирован для нового межсетевого экрана и нового fail2ban.
наблюдение firewallcmd-ipset.conf кажется, он также ожидает переменные port а также name, Так что, возможно, это так же просто, как замена iptables-multiport от firewallcmd-ipset,
Мысли?
Заранее спасибо,
2 ответа
Вам не нужно ничего менять. В CentOS 7 конфигурация по умолчанию уже будет включать бит конфигурации для установки запрета fail2ban на firewallcmd-ipset. Это в fail2ban-firewalld пакет, который должен быть автоматически установлен.
Вам нужно только убедиться, что вы не перекрыли banaction где-то еще в вашей конфигурации.
FirewallD - это просто оболочка iptables, которая упрощает управление вашими правилами. Однако, IMHO, Firewalld лучше для среды рабочей станции, чем для серверной среды. Таким образом, я рекомендую вам systemctl следующее действие
disable FirewallD
mask Firewalld
enable iptables
Затем поставить связанные iptables действие в вашем jail.local
В моем предыдущем опыте использования конфигурации firewalld в fail2ban я обнаружил, что конфигурация не перезагружает frewalld, что означает активацию правил, добавленных fail2ban.
Когда я firewall-cmd --reload вручную все недействительные IP-адреса, записанные fail2ban, отображаются в firewall-cmd --list-all
В этом случае, используя iptables Ваш более быстрый выбор, или вы можете изменить firewalld-xxxxx конфигурирует.