Fail2Ban - Iptables - Set不存在

Question

对于fail2ban/iptables，我有一个非常奇怪的问题。有些事情不正常，但我想不出是什么。

我为fail2ban添加了这个conf &和过滤器：

[wordpress-register]
enabled = true
port = http,https
filter = wordpress-register 
logpath = /var/log/nginx/access.log

[Definition] 

failregex = ^<HOST> .* "GET /wp-login.php\?action=register HTTP/.*" .*$

Fail2ban启动，但在错误日志中有如下内容：

2014-09-22 15:14:35,794 fail2ban.server.action五二七五：ERROR ipset创建故障2ban-wordpress-寄存器散列:ip超时值防火墙-cmd-直接-添加规则ipv4筛选器输入0 -p tcp -m多端口-dports httphttps -m set --匹配- set fail2ban-wordpress-注册src -j拒绝-使用icmp-端口-不可访问-- stderr：'ipset v6.19:接收到的设置类型不受支持\n‘2014-09-21 02:57:43,860 fail2ban.server.action1191：ERROR ipset创建故障2ban-寄存器散列:ip超时600防火墙-cmd-直接-添加-规则ipv4过滤器输入0 -p tcp -m多端口-dports，https -m set --匹配-set fail2ban-wordpress-注册src -j拒绝--拒绝-带有icmp-端口-不可达-- stdout：“\x1b[91 91mError: COMMAND_FAILED：'/sbin/iptables -t filter -I INPUT_direct 1 -p tcp -m多端口--dport http，https -m Set

知道有什么问题吗？我想主要的是：

ipset v6.19:接收内核错误:不支持set类型

但是，这意味着什么呢？

Answer 1

ipset命令需要内核中的IP集支持。具体来说，您需要查找以下设置：

CONFIG_IP_SET=m
CONFIG_IP_SET_HASH_IP=m

而且您的内核似乎是在没有ipset支持的情况下构建的，或者至少它找不到这些模块。解决这个问题，你的错误就会消失。

尝试运行find /lib/modules/$(uname -r) -name ip_set.ko以查看当前内核是否支持它们，并运行find /lib/modules -name ip_set.ko查看安装的内核是否支持它们。

如果你需要更多的帮助，你必须告诉我们：

1. 您使用的是什么版本的CentOS
2. 你在运行什么内核？
3. 您是如何安装fail2ban的(从EPEL存储库还是手动安装的？)

我还应该注意到，在您的问题(6.19)中报告的ipset版本是CentOS 7附带的版本，所以如果您使用的是来自EPEL回购的原始内核和fail2ban，那么一切都应该正常工作。

CentOS 6.5还支持ip集，fail2ban在EPEL中为CentOS 6提供，这些功能也应该很好。

但是，如果您运行的是CentOS 5，那么您可能会倒霉。您可能会很幸运地构建ipset附带的模块，但我不确定CentOS 5内核是否支持。如果您成功地完成了这一任务，并随后对内核进行了升级，那么这只是一个为新内核重新构建模块的问题。