nftablesの優先順位がFail2banと競合します。

nftablesの優先順位がFail2banと競合します。

私はnftablesに初めて触れていて、以前はFail2banを使ったことがないので間違っているかもしれませんが、Fail2banでバグを見つけたかもしれないと思います。

私はnftablesを使って次のファイアウォールルールセットを作成しました。

table ip filter {
    chain input {
        type filter hook input priority filter; policy drop;
        .
        my rules including a rule to allow access to port 22
        .
     }
}

しかし、失敗した2つのクラスをインストールし、クライアントを使用してこのコマンドを使用して設定テストで特定のIPを禁止する場合

Fail2ban - クライアント設定 sshd banip 1.2.3.4

Fail2banサーバーは、この2つの基本チェーンを私の「フィルター」テーブルに追加します。

  chain f2b-sshd {
        ip saddr 1.2.3.4 counter reject 
        counter return
  }

  chain INPUT {
        type filter hook input priority filter; policy accept;
        meta l4proto tcp tcp dport 22 counter jump f2b-sshd
  }

これは問題があるようです。これは、私の「入力」チェーンとfall2banによって生成された「入力」チェーンの両方が同じフック優先順位を持ち、nftables文書によると適用される順序を予測できないためです。

OTOH、文書は私の「入力」チェーンの優先順位が低く、最初に評価され、接続を受け入れると判断されたにもかかわらず、Fail2banの「入力」チェーンが後で適用されるため、そうでない可能性があります。優先順位が何でも構いません。

fall2banによって生成された「INPUT」チェーンが私の「入力」チェーンと同じ優先順位を持つという事実によって禁止が無視されるかどうかは誰に教えてもらえますか?

関連情報