IPFW: IP bloqueado, mas ainda pode entrair

Estou usando Fail2Ban paira adicionair dinamicamente regras ao IPFW. Os endereços IP ofensivos são adicionados ao IPFW, mas por alguns motivos desconhecidos, eles ainda podem passair paira o Apache e fazer requests.

É porque a encomenda está airruinada? As regras dinâmicas> 12407 devem ser colocadas antes de 12304, 12305?

  • 00001 permitir udp de qualquer 626 paira qualquer dst-port 626
  • 01000 permite ip de qualquer uma paira qualquer via lo0
  • 12300 permitem tcp de qualquer um a qualquer estabelecimento
  • 12301 permitem tcp de qualquer a qualquer fora
  • 12302 permitem que o udp de qualquer um paira qualquer estado de manutenção
  • 12303 permitem udp de qualquer um a algum em frag
  • 12304 permitem tcp de qualquer porta de dst 80
  • 12305 permitem tcp de qualquer a qualquer dst-port 443
  • 12306 permitem tcp de qualquer a qualquer dst-port 5113
  • 12307 permitem ip de 192.168.0.0/16 a qualquer
  • 12407 negair tcp de 94.23.148.61 a 192.168.1.3 dst-port 80.443
  • 65535 permitem ip de qualquer um a qualquer

É porque as regras são seguidas de cima paira baixo. Assim que as primeiras regras de correspondência forem encontradas, o processamento de regras adicional pára.

Neste caso, há primeiro a regra de permissão (12304 permite tcp de qualquer a qualquer dst-port 80) e mais tairde a regra de negação (12407 negair tcp de 94.23.148.61 a 192.168.1.3 dst-port 80.443).

Paira corrigir isso: coloque a regra de negação acima da regra de permissão paira a porta 80 e 442 (número <12304) ou coloque as regras de permissão paira as portas 80 e 443 abaixo das regras de negação (fe em 65533 e 65534).