ブロック後もIPがアクセスする
78.128.113.62 - - [04/Jan/2020:19:59:33 +0530] "GET /efk-dashboard HTTP/1.1" 404 66914 "-" "python-requests/2.13.0"
コマンドを実行した後でも、このような複数のアクセスレコードがあります
ufw deny from 78.128.113.58/24 to any # for ufw
ip route add unreachable 78.128.113 # for fail2ban
IPを追加した後、fail2banサービスも再起動しました。
この問題を修正する方法は?アイデアが足りません。
以前の回答は、ufwコマンドが効果を発揮しなかった理由を説明しています。ただし、ip routeコマンドが機能しなかった理由は説明されていません。
影響がないのは、78.128.113が78.128.113.0/32として解釈されているためです。したがって、トラフィックの受信元ではない単一のIPアドレスのみをブロックします。/24 IP範囲全体をブロックする場合は、次を使用できます。
ip route add unreachable 78.128.113.0/24
ipコマンドはリターントラフィックのみをブロックし、着信トラフィックはブロックしないことに注意することが重要です。つまり、そのIP範囲からの着信トラフィックは、ハーフオープンTCP接続を作成するか、ステートレスサービス(通常はUDPベース)にパケットを送信することによって、ホスト上のリソースを消費する可能性があります。
これらの理由により、ufwで作成されたようなファイアウォールルールは、ip routeコマンドよりも特定のユースケースでより適切に機能する可能性があります。