Você precisa trocar a ordem das regras fail2ban-wordpress e fail2ban-repeatoffender na sua corrente INPUT .
Eu tenho um arquivo de IPs na lista negra que são carregados por meio de fail2ban em iptables quando fail2ban é iniciado.
Assumindo que a lista inicial se parece com isso na inicialização:
Chain fail2ban-ip-blacklist (1 references)
target prot opt source destination
DROP all -- 120.25.68.125 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-wordress (1 references)
target prot opt source destination
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Por que eu recebo uma notificação em meus logs após a inicialização de que 120.25.68.125 foi banido e revisita o status do iptables para ver isto:
Chain fail2ban-ip-blacklist (1 references)
target prot opt source destination
DROP all -- 120.25.68.125 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-wordress (1 references)
target prot opt source destination
REJECT all -- 120.25.68.125 0.0.0.0/0
RETURN all -- 0.0.0.0/0 0.0.0.0/0
O IP 120.25.68.125 já não deveria estar bloqueado e não precisa ser adicionado novamente à lista de proibições? Por que o tráfego de 120.25.68.125 está sendo retornado?
iptables output Chain INPUT (policy ACCEPT 1393 packets, 164K bytes)
pkts bytes target prot opt in out source destination
1401 164K fail2ban-wordpress tcp -- * * 0.0.0.0/0 0.0.0.0/0
1410 165K fail2ban-repeatoffender all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1207 packets, 1786K bytes)
pkts bytes target prot opt in out source destination
Chain fail2ban-repeatoffender (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 120.25.68.125 0.0.0.0/0
Chain fail2ban-wordpress (1 references)
pkts bytes target prot opt in out source destination
1401 164K RETURN all -- * * 0.0.0.0/0 0.0.0.0/0