fail2ban 默认在iptables 防火墙filter表的input 链内设置规则,这样导致端口映射,和nat转发的流量不在fail2ban控制内。
如果修改配置文件/etc/fail2ban/action.d# vi iptables-common.conf 把INPUT链修改成FORWARD链后存在同样问题,
会导致进入主机的流量不受控。
这里需要在INPUT链和FORWARD链上都设置过滤规则,所以单独添加一条策略:
这条不生效,估计是在NAT表里
iptables -A FORWARD -j f2b-fail2ban #这条因为-A是加在最后,导致不生效
这条生效了:
iptables -I FORWARD -j f2b-fail2ban #FORWARD链和nat有关系,虽然在filter表内