postfixサービスで認証を保護するためにFail2banを設定しました。刑務所は禁止とうまく機能しますが、ignoreip指定されたCIDRでIPを禁止するため、オプションは無視または誤って設定されているようです。
ここは刑務所です。
[postfix-sasl]
enabled = true
ignoreip = 127.0.0.1/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
filter = postfix-sasl
action_mwl = iptables-allports[name=postfix-sasl]
logpath = /var/log/zimbra.log
bantime = 3600
maxretry = 3
以下は、オプションignoreip(192.168.0.0/16)で指定されたCIDRの1つで禁止されているIPの例です。
Chain f2b-postfix-sasl (1 references)
target prot opt source destination
REJECT all -- 192.168.11.54 0.0.0.0/0 reject-with icmp-port-unreachable
RETURN all -- 0.0.0.0/0 0.0.0.0/0
以下はこのIPと一致する行です/var/log/fail2ban/log。
2019-03-21 09:21:33,269 fail2ban.filter [32293]: INFO [postfix-sasl] Found 192.168.11.54
2019-03-21 09:21:48,290 fail2ban.filter [32293]: INFO [postfix-sasl] Found 192.168.11.54
2019-03-21 09:21:49,044 fail2ban.actions [32293]: NOTICE [postfix-sasl] Ban 192.168.11.54
私も入ることができます。禁止された失敗 WikiignoreipFail2ban wikiでは、スペースで区切られた値とCIDR表記が許可されます。
# Option: ignoreip.
# Notes.: space separated list of IP's to be ignored by fail2ban..
# You can use CIDR mask in order to specify a range..
# Example: ignoreip = 192.168.0.1/24 123.45.235.65.
# Values: IP Default: 192.168.0.0/24.
#.
ignoreip = 192.168.1.0/24