Eu venho executando o fail2ban um pouco, e instalei recentemente o iptables-persistent e o estou usando com ipset para uma lista negra (há um IP em particular que está sempre martelando nessa máquina). A ipset / iptables persistência foi um pouco de trabalho no Ubuntu, mas essa parte parece estar funcionando. Meu problema agora é o seguinte:
Quando eu reinicio a máquina, meu iptables (parte relevante) se parece com isso:
Chain INPUT (policy ACCEPT 682 packets, 84744 bytes)
pkts bytes target prot opt in out source destination
347 23254 f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 match-set blacklist src
347 23254 f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
Chain f2b-sshd (2 references)
pkts bytes target prot opt in out source destination
694 46508 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Com isso, notei também que netfilter-persistent.service foi marcado como "loaded failed failed" por systemctl , embora tenha carregado claramente os arquivos de regras. Eu tentei editar meu serviço fail2ban para carregar o AFTER netfilter-persistent, e agora o netfilter-persistent está marcado como "loaded active exited" ... mas as regras ainda estão duplicadas (aparentemente f2b cria as regras independentemente de já existirem)
Editar manualmente esse arquivo toda vez que eu executo iptables-save para deletar as entradas do f2b é provavelmente uma opção aceitável (especialmente considerando que as conseqüências não são todas graves se eu esquecer de fazer isso), mas eu estou querendo saber se há uma opção melhor?
Uma solução já me ocorreu, mas é ... um pouco idiota. Crie o seguinte arquivo e execute-o. Depende das entradas f2b - e não de outras - todas com "f2b", e este script sendo executado em vez de iptables-save diretamente ...
~/bin£ cat saveFilteredIptables.sh
#!/usr/bin/zsh
sudo iptables-save | perl -ne 'print if !/f2b/'
~/bin£