Eu vejo o seguinte padrão a cada 2-3 segundos, por vários minutos no syslog:
Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=aa:bb:cc:dd:ee:ff:gg:hh:ii:jj:kk:ll:mm:nn SRC=12.34.56.78 DST=98.76.54.32 LEN=60 TOS=0x00 PREC=0x00 TTL=41 ID=12746 DF PROTO=TCP SPT=41611 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
onde os valores em ID e SPT são diferentes em cada linha. O servidor é Debian 6.0, com shorewall e fail2ban.
Como posso diminuir o que está acontecendo e usar o fail2ban e o shorewall para bloquear melhor isso?
Minha solução acabou nesse filtro Fail2ban:
failregex = DROP:IN=eth0 OUT= MAC=[a-zA-F0-9:]+ SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
DROP:IN=eth0 OUT=vmbr0 SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN=
adicionado a /etc/fail2ban/filter.d/sshd-ddos.conf
Ele bane essas solicitações na porta ssh.