Fail2ban не может заблокировать общедоступный IP-адрес, он работает только для частного IP-адреса. ⇐ Apache

[Anonymous]

Мой сервер находится за обратным прокси-сервером nginx, но IP-адрес клиентского доступа отображается в журнале Apache следующим образом, выглядит нормально, в журнале нет никаких сообщений x-forward.

103.221.234.206 - - [28 февраля 2024:14:37:29 +0800] "GET /styles/pke/?mejiku=zeus138 HTTP/1.1" 404 3888 "https://journal. itk.ac.id/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/114.0.0.0 Safari/537.36 Vivaldi/5.3.2679.68" 65.109.34.52 - - [28.02.2024:14:37:29 +0800] "GET /index.php/index/user/register HTTP/1.1" 200 9568 "https://journal.itk.ac.id /" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/114.0.0.0 YaBrowser/22.7.0 Yowser/2.5 Safari/537.36" 103.221.234.206 - - [28/Фев/2024:14:37:31 +0800] "GET / HTTP/1.1" 200 8561 "https://journal.itk.ac.id" "Mozilla/5.0 (X11; Linux) x86_64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/114.0.0.0 Safari/537.36 Vivaldi/5.3.2679.68" 194.32.229.95 - - [28 февраля 2024:14:37:32 +0800] "GET /index.php/index/user/register HTTP/1.1" 200 9487 "https://journal.itk.ac.id /" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/114.0.0.0 YaBrowser/22.7.0 Yowser/2.5 Safari/537.36" 19 Далее... конфигурация error2ban хороша, но iptables не может блокировать IP-адрес из публичного IP. мои iptables показаны ниже. Работает только при запрете локального ip.

Цепочка INPUT (политика DROP 22909 пакетов, 8800 КБ) pkts bytes target prot выбрать исходный пункт назначения 691K 72M f2b-apache-noscript tcp -- любой, где угодно, где угодно, многопортовые порты http,https 690K 85M ПРИНИМАЮТ все -- любой любой где угодно в любом месте СВЯЗАННЫЕ, УСТАНОВЛЕННЫЕ 76 4560 ПРИНЯТЬ все -- вот любое где угодно где угодно 1 60 ACCEPT icmp -- любой любой где угодно где угодно 1 64 ACCEPT tcp -- любой любой 10.0.0.0/8 где угодно tcp dpt:ssh 807 42768 ПРИНЯТЬ tcp -- любой любой 10.0.0.0/8 в любом месте tcp dpt:webmin 0 0 ACCEPT tcp -- любой любой где угодно TCP dpt:http 34019 2040K ПРИНЯТЬ tcp -- любой любой где угодно TCP dpt:https Цепочка FORWARD (политика DROP 0 пакетов, 0 байт) pkts bytes target prot выбрать исходный пункт назначения Цепочка OUTPUT (политика ACCEPT 720K пакетов, 2306M байт) pkts bytes target prot выбрать исходный пункт назначения Цепочка f2b-apache-noscript (1 ссылка) pkts bytes target prot выбрать исходный пункт назначения 0 0 ОТКЛОНИТЬ все -- любой любой 77.111.244.49 в любом месте отклонить-с icmp-портом недостижимым 0 0 ОТКЛОНИТЬ все -- любой любой 103.151.140.101 в любом месте отклонить-с icmp-портом недостижимым 0 0 ОТКЛОНИТЬ все -- любой любой 20.125.101.243 в любом месте отклонить-с icmp-портом недостижимым 0 0 ОТКЛОНИТЬ все -- любой любой 128.199.218.244 в любом месте отклонить-с icmp-портом недостижимым Мои iptables не могут перехватить трафик с этого конкретного заблокированного IP-адреса.

Что мне следует сделать, чтобы мой Fail2ban работал без изменения топологии сети, в которой мой сервер находится за обратным прокси-сервером.