So manche IP-Ranges aus dem Reich der Mitte können einen ganz schön auf die Nerven gehen. Kaum blockt fail2ban eine IP geht es gleich mit der nächsten aus dem gleichen Class C Netz weiter. Ich hab jetzt mal mein fail2ban so umgebaut, dass nicht nur einfach eine IP geblockt wird, sondern gleich das ganze Class C Netz. Ich bin wie folgt vorgegangen:
- action kopieren
cp /etc/fail2ban/action.d/shorewall.conf /etc/fail2ban/action.d/shorewall24.conf - actionban und actionunban angepassen
jeweils /24 ergänzen:
actionban = shorewall drop <ip>/24
actionunban = shorewall allow <ip>/24
- default banaction ändern
in /etc/fail2ban/jail.conf die folgende Zeile um 24 ergänzen
banaction = shorewall24 - fail2ban neu starten
/etc/init.d/fail2ban restart
Fertig.
PS: das ganze geht natürlich auch wenn man nicht die Shorewall sondern iptables-multiport als banaction verwendet. Dann eben halt statt shorewall überall iptables-multiport verwenden.