Hi!
Ich kämpfe gerade ein wenig mit der ufw und fail2ban. Mein Problem ist, dass ich über Postfix seit Wochen hunderte/tausende Anfragen pro Tag aus dem Netzwerk 5.188.206.0/24 an Port 25 bekomme. Diese IP-Adressen werden dann immer zuverlässig von fail2ban für 48h gesperrt. Danach geht es aber wieder los.
Daher habe ich ganz naiv versucht, über die ufw das gesamte 24er Netz zu blocken. In der /etc/ufw/user.rules steht auch drin:
-A ufw-user-input -s 5.188.206.0/24 -j DROP
und "iptables -nvL|grep 5.188" liefert folgende Ausgabe:
2 120 REJECT all -- * * 5.188.206.163 0.0.0.0/0 reject-with icmp-port-unreachable 12 1082 REJECT all -- * * 5.188.206.162 0.0.0.0/0 reject-with icmp-port-unreachable 2 120 REJECT all -- * * 5.188.206.164 0.0.0.0/0 reject-with icmp-port-unreachable 23 2024 REJECT all -- * * 5.188.206.166 0.0.0.0/0 reject-with icmp-port-unreachable 23 17166 REJECT all -- * * 5.188.206.170 0.0.0.0/0 reject-with icmp-port-unreachable 18 1020 REJECT all -- * * 5.188.206.172 0.0.0.0/0 reject-with icmp-port-unreachable 27 1884 REJECT all -- * * 5.188.206.171 0.0.0.0/0 reject-with icmp-port-unreachable 3 180 REJECT all -- * * 5.188.206.173 0.0.0.0/0 reject-with icmp-port-unreachable 55 3516 REJECT all -- * * 5.188.206.165 0.0.0.0/0 reject-with icmp-port-unreachable 0 0 DROP all -- * * 5.188.206.0/24 0.0.0.0/0
Leider bekomme ich immer noch jeden Tag dutzende Mails von fail2ban, dass wieder einer IP-Adresse aus dem Bereich 5.188.206.0/24 geblockt wurde. Heißt also, die Anfragen gehen trotz iptables immer noch bis zu postfix durch. ☹
May 3 20:06:58 mail postfix/postscreen[36365]: NOQUEUE: reject: RCPT from [5.188.206.246]:28352: 550 5.7.1 Service unavailable; client [5.188.206.246] blocked using bl.mailspike.net; from=<l5u0l68fxxac@mail-32h69.getresponse.com>, to=<mike@k...
Wo liegt mein Denkfehler?