Acabei de implementar fail2ban em um servidor para fins de teste. Eu tenho uma cadeia BLACKLIST que bloqueia um conjunto enorme de máscaras CIDR que eu não quero acessar meu servidor. Quando fail2ban é acionado por um ataque de força bruta, ele adiciona o endereço IP incorreto corretamente, mas libera minha cadeia BLACkLIST, que preciso manter intacta.
Alguma idéia de por que isso está acontecendo e como posso persistir na cadeia BLACKLIST?
Eu assumo que você usa o shorewall como seu firewall? Se sim, você pode querer alterar a ação de fail2ban para shorewall em vez de iptables em jail.conf:
...
[ssh-iptables]
enabled = false
...
[ssh-shorewall]
enabled = true
filter = sshd
action = shorewall
logpath = /var/log/auth.log
maxretry = 5
....
Tags iptables fail2ban ubuntu-12.04