Ubuntu 14.04サーバーで実行中。

したがって/var/log/auth.log、SSHログイン試行を処理するようにfail2banが正しく構成されています。

3回失敗すると、fail2banログに次のように表示されます。

2014-11-19 15:22:56,822 fail2ban.actions: WARNING [ssh] Ban BANNED_IP_ADDY

iptables -L このチェーンを示します：

Chain fail2ban-ssh (1 references)
target     prot opt source               destination         
REJECT     all  --  BANNED_IP_ADDY  anywhere             reject-with icmp-port-unreachable
RETURN     all  --  anywhere             anywhere

それでも、そのIPからは問題なくSSH経由でログインできます。

同じ話がすべての私のfail2ban刑務所に当てはまります。たとえば、Apacheは、fail2banがログを正しく検出し、IPを禁止すると主張するのを見ることができます。IPは最終的にiptablesチェーンになりますが、IPは実際には拒否されません。

これらのケースでは、SSHが標準ポート上にないためだと感じています。別のポートにあります。

ssh jailルールに新しいポートを使用するように強制する場合：

[ssh]

enabled  = true
port     = 32323
filter   = sshd
logpath  = /var/log/auth.log
maxretry = 5

次に、このエラーが表示されます：

2014-11-19 15:30:06,775 fail2ban.actions.action: ERROR  iptables -D INPUT -p tcp -m multiport --dports 32323 -j fail2ban-ssh
iptables -F fail2ban-ssh
iptables -X fail2ban-ssh returned 400
2014-11-19 15:30:06,778 fail2ban.actions.action: ERROR  iptables -N fail2ban-ssh
iptables -A fail2ban-ssh -j RETURN
iptables -I INPUT -p tcp -m multiport --dports 32323 -j fail2ban-ssh returned 400
2014-11-19 15:30:06,779 fail2ban.actions.action: ERROR  iptables -n -L INPUT | grep -q 'fail2ban-ssh[ \t]' returned 100
2014-11-19 15:30:06,780 fail2ban.actions.action: CRITICAL Unable to restore environment

そのままにしておくと

 port = ssh

その後、iptablesに正しく入りますが、チェーンはREJECTトラフィックに対して機能しません（上記のように）。

更新：

変更する場合：

banaction = iptables-multiport

に：

banaction = iptables-allports

その後、動作するように見えます。この変更の影響は何ですか？

これfail2banによりSSHが原因でIPを禁止すると、そのIPのすべてのallportsポートが禁止されたようです。繰り返しsshログインが失敗するため、意図的に禁止されました。他のすべてのサービスも禁止されました。

fail2banチェーンは、INPUTおよびOUTPUTチェーンに正しくリンクされていません。質問を編集して、次の出力を提供してください。

iptables -n -L INPUT
iptables -n -L OUTPUT

すべてのfail2banチェーンも、より正確にできるようになります。

INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh