ある日メールボックスを開くととあるサーバーのfail2banからBanしたという通知メールが頻繁に届いていました。どこからか攻撃されているのだと思ったのですが、その本文を見ていくと、なぜか同じIPから立て続けに不正アクセスが来ていました。fail2banの設定では10分以内に5回以上ログインに失敗すると24時間iptablesによりブロックするよう定義していたはずでした。これはおかしいと思いサーバーへログインし、sylogをチェックすると、下記のようなログが残されていました。
ERROR iptables -w -N f2b-HTTP#012iptables -w -A f2b-HTTP -j RETURN#012iptables -w -I INPUT -p tcp -m multiport --dports 80,443 -j f2b-HTTP -- returned
どうやらiptablesにより正しくブロックされていないようでした。このログを見るとiptablesに-wというオプションを渡しています。私のしる限りこのオプションは見たことがなかったのでmanコマンドで調べて見ました。するとそこには-wオプションについて何も記載がありません。インターネットで検索して調べてみると、どうやら最近実装された新しいオプションのようです。CentOS6.7の最新のiptablesのバージョンはこの時点で1.4.7でした。