Правило iptable в пользовательской цепочке не действует
Бинарные файлы, которые могут быть размещены там, предназначены только для конкретных целей пользователя. Но с текущими стандартами это не рекомендуется и не рекомендуется.
Как видно из Стандарта файловой иерархии на веб-сайте Linux Foundation, концепция /homeзависит от хоста -и даже считается необязательной :
.
/home is a fairly standard concept, but it is clearly a site-specific filesystem. The setup will differ from host to host. Therefore, no program should assume any specific location for a home directory, rather it should query for it.
Однако наличие /home/username/bin/— это то, с чем вы можете столкнуться в дистрибутивах на основе RPM -, таких как Fedora, Red Hat Entreprise Linux или Suse. В этом аспекте они не считаются полностью совместимыми с FHS -, если двоичные файлы помещаются в каталог $HOME/bin, который следует размещать в стандартизированных папках.
Наконец-то я добрался до сути тайны!
Проблема связана с докером, который игнорирует мое правило iptable...
Чтобы сбросить входящее соединение с док-контейнером, вы должны поместить свое правило в цепочку с именем DOCKER-USER.
Эта цепочка создается самим Docker, и эти правила будут иметь приоритет над правилами из движка Docker.
Например, чтобы забанить определенный IP(от fail2ban например)на порту 443:
sudo iptables -I DOCKER-USER -i eth0 -s <SPECIFIC_IP> -p tcp --dport 443 -j DROP
(Измените eth0на любой ваш внешний интерфейс)
- Не забудьте указать порт, иначе правило может применяться к вашему порту SSH (22 )и вы забаните себя...
- Добавление правила в цепочку
INPUTне сработает, если вы пытаетесь заблокировать доступ к контейнеру докеров. - Цепочка с именем
DOCKERпредназначена только для докеров. Не кладите туда ничего.