Estou tentando configurar o fail2ban para bloquear uma classe inteira / 24 ou até mesmo uma / 16, mas não apenas para ssh (o ssh não é nem mesmo uma prioridade para mim).
Por exemplo:
5 hits from 11.22.33.10
5 hits from 11.22.33.15
5 hits from 11.22.33.25
5 hits from 11.22.33.100
5 hits from 11.22.33.125
5 hits from 11.22.33.200
Este exemplo soma até 30 acertos que seriam suficientes para banir 111.22.33.0/24, mas cada 5 acertos não seriam suficientes para cada IP individual porque o limite é menor (por exemplo, 10, este limite parece ser considerado em conta pelo atacante)
Eu tenho tentado algumas coisas como usar essa expressão regex que é semelhante à usada por recidive:
failregex = ^(%(__prefix_line)s| %(_daemon)s%(__pid_re)s?:\s+)INFO\s+\[(?!%(_jailname)s\])(?:.*)\]\s+Found\s+<HOST>(\.\d{1,3}){2}\s*$
então essa expressão seria apenas deixar com os 2 primeiros bytes do endereço IP, mas parece que o fail2ban verifica se o valor de não é um endereço IP válido e ignora a entrada ...
Observe que eu preparei uma configuração de ação para essa cadeia que receberia apenas o endereço IP parcial e a concluiria com .0.0 / 16
Qual seria a abordagem mais fácil para obter os resultados desejados?
Felicidades.