Firewalldログファイルのエラーメッセージセットfail2ban-sshは存在しません
以下のエラーメッセージがfirewalldログファイルで繰り返されています。
2019-07-19 14:18:20 ERROR: COMMAND_FAILED: Direct: '/usr/sbin/iptables-restore -w -n' failed: iptables-restore v1.4.21: Set fail2ban-ssh doesn't exist.
Error occurred at line: 2
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
私は運が悪かったのでこのエラーを修正するためにあちこちで検索しました。私はCentos7をfirewalldとfail2banで使用しています。
問題がどこにあるのか正確にはわかりません。これはfail2banまたはfirewalldに関連していますか?
Systemctl status Firewalld -lを実行すると、次のエラーメッセージが表示されます。
firewalld[703]: WARNING: '/usr/sbin/iptables-restore --wait=2 -n' failed: iptables-restore v1.4.21: Set fail2ban-sshd doesn't exist.
Error occurred at line: 2
Try 'iptables-restore -h' or 'iptables-restore --help' for more information.
firewalld[703]: ERROR: COMMAND_FAILED
Fail2banのjail.localのコンテンツは次のとおりです。
[DEFAULT]
ignoreip = 127.0.0.0/8
bantime = 86400
findtime = 86400
maxretry = 5
# Override /etc/fail2ban/jail.d/00-firewalld.conf:
banaction = firewallcmd-ipset
[sshd]
enabled = true
[ssh]
enabled = true
filter = sshd
action = %(action_)s
logpath = /var/log/secure
maxretry = 5
他のすべての構成は、システムのデフォルトに従っています。
次のようにfirewalldをインストールしました。
Sudo yum install firewalld
Sudo systemctl start firewalld
Sudo firewall-cmd --permanent --add-service=ssh
Sudo firewall-cmd --permanent --add-service=http
Sudo firewall-cmd --permanent --add-service=https
Sudo firewall-cmd --permanent --remove-service=smtp
Sudo systemctl enable firewalld
最後に、次のコマンドを実行します。
# firewall-cmd --direct --get-all-rules
私はこれらの結果を得る:
ipv4 filter INPUT 0 -p tcp -m multiport --dports ssh -m set --match-set fail2ban-sshd src -j REJECT --reject-with icmp-port-unreachable
ipv4 filter INPUT 0 -p tcp -m multiport --dports 0:65535 -m set --match-set fail2ban-ssh src -j REJECT --reject-with icmp-port-unreachable
私はサーバーよりも開発に取り組んでいるので、あなたの援助に感謝します。
私は本当にこれをできるだけ早く修正する必要があります。それは私の本番サーバー用です。
ありがとうございました!
/var/log/fail2ban.logをチェックした場合、またはどこに配置した場合でも、おそらく次のようなものが表示されます。
2019-08-01 08:16:14,509 fail2ban.utils [11727]:#39-レブ。 3ef3cd40 --exec:ipset create f2b-Apache-myadmin hash:ip timeout 2160000 Firewall-cmd --direct --add-rule ipv4 filter INPUT_direct 0 -p tcp -m multiport --dports http、https -m set --match -set f2b-Apache-myadmin src -j REJECT --reject-with icmp-port-unreachable 2019-08-01 08:16:14,510 fail2ban.utils [11727]:エラー3ef3cd40-stderr: "ipset v7.2:構文エラー:「2160000」は範囲外です0-2147483 "2019-08-01 08:16:14,510 fail2ban.utils [11727]:エラー3ef3cd40-stderr:"エラー:COMMAND_FAILED: '/ usr/sbin/iptables- restore -w -n'failed:iptables-restore v1.8.2(legacy):Set f2b-Apache-myadmin does notexist。 " 2019-08-01 08:16:14,510 fail2ban.utils [11727]:エラー3ef3cd40-stderr: '' 2019-08-01 08:16:14,510 fail2ban.utils [11727]:エラー3ef3cd40-stderr: 'エラー次の行で発生しました:2 '2019-08-01 08:16:14,510 fail2ban.utils [11727]:エラー3ef3cd40-stderr: "詳細については、「iptables-restore-h」または「iptables-restore--help」を試してください。」 2019-08-01 08:16:14,510 fail2ban.utils [11727]:エラー3ef3cd40-stderr: '' 2019-08-01 08:16:14,510 fail2ban.utils [11727]:エラー3ef3cd40-戻り値13 2019- 08-01 08:16:14,510 fail2ban.actions [11727]:エラー禁止刑務所の実行に失敗しました 'Apache-catchall'アクション 'firewallcmd-ipset' info'ActionInfo({'ip': '128.14.209.154'、 'family' : 'inet4'、 'fid':at 0x3f24b200>、 'raw-ticket':at 0x3f24b7a0>}) ':アクションJail(' Apache-myadmin ')/ firewallcmd-ipset 2019-08-01 08:16の開始エラー: 14,510 fail2ban.actions [11727]:通知[Apache-myadmin]
ipsetの最大タイムアウトは2147483のみです。 http://ipset.netfilter.org/ipset.man.html を参照してください。
timeoutすべてのセットタイプは、セットを作成してエントリを追加するときに、オプションのタイムアウトパラメータをサポートします。 createコマンドのtimeoutパラメーターの値は、新しいエントリーのデフォルトのタイムアウト値(秒単位)を意味します。セットがタイムアウトサポート付きで作成されている場合、同じタイムアウトオプションを使用して、エントリを追加するときにデフォルト以外のタイムアウト値を指定できます。ゼロタイムアウト値は、エントリがセットに永続的に追加されることを意味します。すでに追加されている要素のタイムアウト値は、-existオプションを使用して要素を再度追加することで変更できます。可能な最大のタイムアウト値は2147483(秒単位)です。
firewalldを介してipsetを使用しているため、各jailのjail.localファイルで禁止時間を短縮する必要があります。デフォルトは最大2147483秒、または日数です。そして、あなたは元気になります!