Fail2ban с Firewalld на RHEL 8 — Fail2ban вроде бы блокирует IP-адреса, но на самом деле они не заблокированы

Я запускаю fail2ban на RHEL 8 с помощью firewalld. Согласно логу fail2ban (уровень DEBUG) безошибочно блокирует IP-адреса, но на самом деле в firewalld и nftables таких правил нет.

в тюрьма.местный файл конфигурации, который я установил запрет как брандмауэрcmd-ipset и banaction_allports как firewallcmd-ipset[actiontype="<allports>"].

Я не вижу никаких сообщений об ошибках ни в файлах журнала fail2ban, ни в файлах журнала firewalld. И, кроме того, мне правильно отправляется электронное письмо при блокировке IP.

в firewallcmd-common.conf config я изменил параметр зоны на имя моей пользовательской зоны в firewalld.

Кто-нибудь знает, в чем может быть проблема или в какие другие файлы журналов я могу заглянуть, чтобы найти ошибку?

но на самом деле в firewalld и nftables таких правил нет.

что именно означают "такие правила"?

1. действие firewallcmd-ipset будет добавить правило, а также создать ipset если он запускает действие (это происходит по требованию при первом бане, начиная с версии fail2ban 0.10).

2. а затем firewallcmd-ipset будет добавить запись в этот ipset за каждый забаненный IP.

Если вы не видите правило в списке firewalld, это может быть:

• чем-то удален или сброшен (например, какой-то сервис воссоздает правила firewalld с нуля)
• некоторая ошибка возникает при запуске действия (см. fail2ban.log о первом бане этого джейла после запуска fail2ban), например, если некоторые настройки несовместимы

Чтобы увидеть, какие команды действия fail2ban выполняются в вашем случае (например, вы также можете попробовать их в оболочке), вы можете сделать дамп своей конфигурации fail2ban:

fail2ban-клиент -d | grep "$тюрьма"
# красивый дамп в новой версии (>= 0.10):
fail2ban-клиент --dp