[Postfixbuch-users] Meinungen zur Kombi fail2ban und Postfix

Igor Sverkos igor.sverkos at googlemail.com
Di Aug 12 12:19:07 CEST 2014


​Hallo,

Bjoern Meier schrieb:
> > Mit Ipset nur eine Regel !
>
> Dann habe ich das missverstanden. Ich habe das so verstanden, dass man
> eine Chain in mit iptables in Netfilter anlegt und diese Chain
> gefüttert wird. Scheint mir auch
> logisch. Wie kann man mit einer
> einzigen Regel mehrere IPs filtern?

​Das ist ja durchaus richtig mit der Chain aber netfilter durchläuft diese
Chain bis es die Anweisung bekommt diese zu verlassen (sei es wegen einem
Match der zur ACTION springt oder weil man das Ende erreicht hat und zur
übergeordneten Chain zurück springt.

D.h. du hast deine INPUT Chain zwar sauber... aber da du ja jeden
Ankömmling durch deine fail2ban Chain jagst (willst ja schließlich schauen
ob diese IP durch fail2ban gesperrt werde) so muss hier eben *JEDE* Regel
durchlaufen werden. Das macht netfilter so langsam.

Hier greift eben ipset. Ein ipset abzufragen geht in MS.

D.h. in netfilter hast du nur eine einzige Regel hierfür (den match gegen
das ipset)... dann ist der fail2ban Kram abgearbeitet.


-- 
Ich Grüße,
Igor
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20140812/ed282f36/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users