CentOS 7, ISPManager5 Lite, fail2ban: FirewallD is not running

Сегодня заметил в логе fail2ban-а много записей вида: fail2ban.actions NOTICE [sshd] 59.45.79.52 already banned . Удивило меня не само наличие таких записей, а то, что их было много подряд. Это говорило о том, что fail2ban обнаружил бандита, попытался его заблокировать, но почему-то не смог..

Сперва я посмотрел на наличие блокировок в iptables:

iptables -L -n

Заблокированных IP там не оказалось.

Тогда, посмотрев логи детальнее, я обнаружил проблему, в логе были записи вида:

fail2ban.action ERROR ... FirewallD is not running

Это сказало мне, что fail2ban пытается забанить пользователей через firewalld, которого на сервере нет. А нет его, потому что ISPManager 5 использует вместо него старый, добрый iptables. Проблема понятна..

Решить её достаточно просто, прежде всего смотрим основной конфиг fail2ban-а, тут:

/etc/fail2ban/jail.conf

там мы должны убедиться что по-умолчанию в качестве action стоит именно iptables, выглядит это так:

...
banaction = iptables-multiport
...

ок, но если стоит iptables, то почему fail2ban пытается использовать firewalld? Все просто, это значение переопределено тут:

/etc/fail2ban/jail.d/00-firewalld.conf

открываем этот файл на редактирование и комментируем, переопределение, должно получиться так:

[DEFAULT]
## Commented cos we haven't firewalld in the system
##banaction = firewallcmd-ipset

осталось перезапустить fail2ban:

service fail2ban restart

проверяем добавились ли ip в iptables:

iptables -L -n

должны получить примерно такой результат:

Chain f2b-sshd (1 references)
target     prot opt source               destination
REJECT     all  --  59.45.79.52          0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  185.69.152.169       0.0.0.0/0            reject-with icmp-port-unreachable
RETURN     all  --  0.0.0.0/0            0.0.0.0/0

где 59.45.79.52 и 185.69.152.169 - заблокированные ip

Теперь враг не пройдет 🙂