ip6tables DROP Regel greift nicht

[wakko]

Hi,
ich teste zur Zeit eine manuelle ip6tables Block/DROP Regel, da ein bestimmter IPv6 Bereich viel zu oft im fail2ban auftaucht.

user@host:~$ sudo ip6tables -nL |grep -i drop
Chain INPUT (policy DROP)
DROP       0    --  2001:41d0::/32       ::/0                 /* OVH */

Erstellt wurde die Regel mit dieser Zeile:

sudo ip6tables -A INPUT -j DROP -s 2001:41d0::/32 -m comment --comment "OVH"

Blöderweise scheint die aber nicht zu greifen, denn der elende OVH Range taucht trotzdem täglich weiter im fail2ban auf.

Banned services with Fail2Ban:                        Bans:Unbans  ReBans:Flush
    sshd:                                              [ 49:36 ]      [  0:0  ]
       [...]
       2001:41d0:1:5576::1                                1:0            0:0 
       2001:41d0:a:25dc::1                                1:0            0:0 
       2001:41d0:1004:c64::                               1:0            0:0

Hat jemand eine Idee, was ich da falsch gemacht habe?

 

[d4f]

Ohne den Rest deiner Regel zu kennen, eventuell hast du eine allow in der Liste welche der Default-Drop der Input-Chain entgegenwirkt.
Dadurch wird dann ein Append (iptables -A) nie wirken da die ALLOW bereits vorher greift. Am einfachsten teste die Regel an den Anfang zu inserten (iptables -I) statt zu appenden (iptables -A)

 

[wakko]

Danke. Mit Insert anstatt Append funktioniert es.