Então, testei o Fail2ban no ssh hoje com um IP que nunca deveria ter se conectado ao servidor antes.
Primeiro, a única coisa que eu mudei na configuração padrão (além do endereço de email) é isso aqui:
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s
E devo observar que o SSH está em uma porta maior que 20000.
Agora, o que aconteceu é que, após 6 tentativas, recebi a mensagem de que meu IP foi bloqueado. Então eu fiquei feliz.
Mas depois tentei fazer login novamente, com os detalhes certos ... e funcionou.
Então, por quê? O que poderia estar causando isso?
Como descrito aqui, banaction = iptables-allports também funciona. No entanto, embora eu goste, esta provavelmente não é uma solução satisfatória para muitos usuários, então eu apreciaria uma resposta que lida com o problema de deixar o fail2ban reconhecer uma porta diferente da normal