IPTABLES не банит по IP

0

2

Всем привет!
Помогите найти причину - не работает iptables.
В частности ни чего не блокирует например - добавляю следующее правило:
iptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP
где XXX это мой IP - эффект нулевой. С другими IP тоже самое. До этого (дня два-три назад) все работало и банилось на ура.
Пробовал также удалять все цепочки и правила и создавать заново... ни чего не помогает.

Подскажите что это может быть и куда копать?.

Ссылка

←	Joanna Rutkowska: Intel x86 considered harmful

вопрос по банкоматам

→

iptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP

И куда это правило добавляется?

-I INPUT 1 добавит его самым первым, перед всеми разрешающими правилами

Pinkbyte ★★★★★
(28.10.15 20:04:09 MSK)

Ответ на: комментарий от Pinkbyte 28.10.15 20:04:09 MSK

Все правильно. Добавляю самым первым правилом что бы проверить будет блокировать или нет. Не блокирует. Вот я и пытаюсь понять почему...
Вообще все началось с fail2ban'a. В его логах я увидел что он блокирует вроде бы но потом эта запись повторяется многократно.
То есть вот так
Found ай-пи.
ай-пи already banned
В сам iptables этот ай-пи тоже добавлялся но эффекта это не давало..
Вот примерно так:
-A fail2ban-apache-xmlrpc -s ай-пи/32 -j DROP
Вот я и стал проверять а вообще то банит iptables или нет..

radonej
(28.10.15 20:24:30 MSK) автор топика

Ответ на: комментарий от radonej 28.10.15 20:24:30 MSK

Покажи iptables -vn -L INPUT

-j LOG вместо -j DROP добавлять пробовал? В логи при этом что-нибудь пишется? Может ты не с того IP стучишься?

Пойми правильно - критерий DROP в iptables это такая часть системы, которая вряд ли ломается - скорее ошибка в конфигурации

Pinkbyte ★★★★★
(28.10.15 20:25:36 MSK)
Последнее исправление: Pinkbyte 28.10.15 20:26:51 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 28.10.15 20:25:36 MSK

Вот вывод iptables -S
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s мой-ай-пи/32 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s сервер-ай-пи/32 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 2222 -m state --state ESTABLISHED -j ACCEPT
Лог пока не пробовал
сейчас буду пробовать

radonej
(28.10.15 21:00:20 MSK) автор топика

Ответ на: комментарий от radonej 28.10.15 21:00:20 MSK

к сожалению лог тоже ни чего не дал..
с моего ай-пи пакеты идут на ай-пи сервера.
еще одна интересная особенность
nmap -А мой.ай.пи
показывает что 998 портов filtered а открыты только 21 и 80.
Никто не сталкивался с моей проблемой?

radonej
(28.10.15 22:52:22 MSK) автор топика

Покажи вывод iptables-save.

edigaryev ★★★★★
(28.10.15 22:54:44 MSK)

Ссылка

Ответ на: комментарий от radonej 28.10.15 22:52:22 MSK

к сожалению лог тоже ни чего не дал..

что значит не дал? записи в логе о том, что ты стучишься есть? если нет - ты не с того IP стучишь

Pinkbyte ★★★★★
(28.10.15 23:57:29 MSK)

Ссылка

где XXX это мой IP

Я надеюсь что там не стоит IP твоего локалхоста

snaf ★★★★★
(01.11.15 12:58:42 MSK)
Последнее исправление: snaf 01.11.15 12:59:04 MSK (всего исправлений: 1)

Ответ на: комментарий от snaf 01.11.15 12:58:42 MSK

Нет.. не локалхост, а мой IP с которого я зашел на сервер по ssh
Сейчас вообще мистика происходит.. теперь при вводе
iptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP
он банит мой IP по всем портам кроме 80..
А именно из-за проблемы 80 порта я всю эту канитель и затеял..

оффтоп: ну и аватар у вас батенька... не аватар а шедевр! :)

radonej
(01.11.15 14:04:20 MSK) автор топика

Ответ на: комментарий от radonej 01.11.15 14:04:20 MSK

он банит мой IP по всем портам кроме 80..

ну так у вас же стоит

-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

snaf ★★★★★
(01.11.15 14:50:28 MSK)

Ответ на: комментарий от snaf 01.11.15 14:50:28 MSK

Вообще то я ставил правило с моим IP перед всеми правилами,
iptables -I INPUT -s XXX.XXX.XXX.XXX -j DROP
надеясь что таким образом доступ для этого IP будет закрыт по всем портам.
Именно потому что этот трюк у меня не сработал я создал эту тему здесь.
Ведь по логике должно работать? Причем по всем портам.
Я думал может кто то уже сталкивался и подскажет мне куда смотреть и что именно искать если такое происходит.

radonej
(01.11.15 16:46:25 MSK) автор топика

Ответ на: комментарий от radonej 01.11.15 16:46:25 MSK

Вот о чем речь:
-P INPUT DROP
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
iptables -I INPUT -s мой-ай-пи/32 -j DROP
-A INPUT -s мой-ай-пи/32 -p tcp -m tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s сервер-ай-пи/32 -j ACCEPT
-A INPUT -p udp -m udp --sport 53 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 2222 -m state --state ESTABLISHED -j ACCEPT

Почему мой-ай-пи после этого имеет доступ к порту 80?