IP Tables und fail2ban - Reihenfolge der Rules ändert sich.

[Mutti]

Hallo, kurze Frage in die Runde.

Die Reihenfolge der Rules für meine IP-Tables regeln sind so angelegt das erst ein IPSet mit einer Whitelist mit den Google IP,s steht.
Danach steht ein IPset mit der Sammlung von IP Adressen auf einer Blacklist. Danach kommen die Regeln in iptables, die durch Fail2Ban konfiguriert werden.

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set google_ips src multiport dports 80,443
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set blacklist src
   22  1264 f2b-ssh    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5567
   39  2028 f2b-plesk-wordpress  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,7080,7081
   39  2028 f2b-apache  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,7080,7081
   71  4986 f2b-recidive  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Nach einer gewissen Zeit ändert sich die Reihenfolge.

 116K 8138K f2b-plesk-wordpress  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,7080,7081
 116K 8111K f2b-apache  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443,7080,7081
12964 1566K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set google_ips src multiport dports 80,443
68422 3312K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set blacklist src
  715 48535 f2b-ssh    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5567
 929K  315M f2b-recidive  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Wie kann das verhindert werden?

Für eine Lösung, Danke voraus.

 

[danton]

Ins Blaue geraten: Deine iptables Action von fail2ban für multiport für die Regeln zu Beginn ein, die für oneport hängt sie am Ende an (Parameter -I bzw. -A)

 

[Mutti]

Danke für den Hinweis. Das schau ich mir genauer an.

 

[Ussshathy]

Die Reihenfolge der IP Tables-Regeln ist entscheidend für die Funktion von fail2ban. Wenn die Regeln nicht richtig angeordnet sind, können legitime Verbindungen blockiert oder Angriffe nicht effektiv abgewehrt werden. Es ist wichtig, dass die fail2ban-Regeln vor allgemeinen erlaubenden Regeln platziert werden, um sicherzustellen, dass verdächtige Aktivitäten rechtzeitig erkannt und blockiert werden. Eine gut durchdachte Regelanordnung verbessert die Sicherheit erheblich und verhindert unnötige Probleme.