O problema principal aqui é o Multicast (baseado em seus logs). IGMP significa "Internet Group Management Protocol" e é um protocolo de comunicação usado por hosts e roteadores adjacentes em redes IPv4 para estabelecer associações a grupos de multicast. Na maioria das redes, isso não é necessário e pode ser ignorado com segurança.
O endereço IP que você está vendo no "destino" é o endereço multicast padrão - 224.0.0.1
. É mais do que provável que seus sistemas estejam tentando usar o IGMP. Para evitar isso, configure uma regra anterior à sua regra de LOG que apenas faz um DROP em pacotes Multicast. Por exemplo:
sudo iptables -I INPUT 1 -m pkttype --pkt-type multicast -j DROP
Isso eliminará o tráfego e não acionará as entradas de log - isso significará que o Fail2Ban não vê uma mensagem de log sobre isso e, portanto, você pode simplesmente "soltar" o tráfego e o F2B ignorará como ele não sabe sobre isso dos logs.
(Note que se você usar o UFW, pode ser mais difícil adicionar esse tipo de regra - o UFW não é tão versátil quanto o straight- iptables
)
Note que temos uma caixa PSAD na rede de um cliente, no Ubuntu, e deixamos cair silenciosamente o tráfego Multicast, já que não nos importamos com o tráfego IGMP / Multicast nas redes que estamos monitorando - só acionamos em outros tráfego que não esperamos (nossos scanners de rede regulares para determinar sistemas não autorizados que não são nossos, por exemplo, estão na lista de permissões e "DROP" no início do conjunto de regras para que o PSAD e o F2B não o vejam).
% bl0ck_qu0te%