Мы используем fail2ban на наших веб-серверах, чтобы блокировать IP-адреса, которые неоднократно не проходят аутентификацию должным образом. Наше обычное время запрета - один час; IP-адреса, которые уже были заблокированы несколько раз, блокируются на день с помощью recidiveджейла, включенного в пример конфигурации fail2ban.
Эта длительность блока в один день была выбрана, чтобы не слишком сильно влиять на динамические IP-адреса, особенно учитывая, что recursiveтюрьма блокирует не определенные порты, а все входящие соединения. Тем не менее, мы хотели бы запретить очень стойких злоумышленников на более длительный период времени. В настоящее время это достигается с помощью специального super-recidiveфильтра и джейла. Этот джейл блокирует на целую неделю каждый хост, который был заблокирован recidiveдважды (этот IP явно не назначен динамически).
В идеале, однако, я бы хотел на неделю запретить каждый IP, который был забанен recidiveв прошлом (скажем, на одну неделю) и который после того, как он был забанен, снова заблокирован любой тюрьмой. Я знаю, что что-то вроде этого должно быть возможно с комплексом, failregexвключая обратные ссылки - но есть ли более элегантный способ сделать это?
Я предлагаю взглянуть на более надежный брандмауэр веб-приложений, такой как NGINX. Вы можете передать повторных нарушителей в свой черный список NGINX, где может быть другой набор правил на время блокировки нарушителя.
ПРИМЕР: https://www.nginx.com/blog/dynamic-ip-blacklisting-with-nginx-plus-and-fail2ban/