Estamos usando o fail2ban em nossos servidores voltados para a Web para bloquear endereços IP que falham repetidamente na autenticação adequada. Nosso tempo normal é de uma hora; Os IPs que já foram banidos várias vezes são bloqueados por um dia usando a recidive jail incluída na configuração de exemplo do fail2ban.
Esta duração de bloco de um dia foi escolhida para não afetar muito os IPs dinâmicos, especialmente considerando que recursive jail não bloqueia portas específicas, mas todas as conexões de entrada. No entanto, gostaríamos de proibir invasores muito persistentes por um longo período de tempo. Atualmente, isso é obtido por meio de um filtro super-recidive personalizado e da cadeia. Esta prisão bloqueia por uma semana inteira cada host que foi banido por recidive duas vezes (este IP obviamente não é atribuído dinamicamente).
Idealmente, no entanto, eu gostaria de banir por uma semana todo IP que tenha sido banido por recidive no passado (digamos, uma semana) e que após ser banido novamente seja banido novamente por qualquer cadeia. Eu sei que algo como isso deve ser possível com um failregex complexo incluindo backreferences - mas existe uma maneira mais elegante de fazer isso?
Eu sugiro olhar para um Firewall de Aplicação Web mais robusto, como o NGINX. Você pode passar os infratores recorrentes para a sua lista negra do NGINX, onde pode haver um conjunto diferente de regras por quanto tempo o infrator é bloqueado.
EXEMPLO: link