Итак, я протестировал Fail2ban по ssh сегодня с IP, который никогда раньше не должен был подключаться к серверу.
Во-первых, единственное, что я изменил в конфигурации по умолчанию (кроме почтового адреса), это здесь:
# Choose default action. To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g. action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section
action = %(action_mwl)s
И я должен отметить, что SSH находится на порте больше 20000.
Теперь, что случилось, после 6 попыток я получил почту, что мой IP был заблокирован. Так что я был счастлив.
Но потом я попытался войти снова, указав правильные данные ... и это сработало.
Итак, почему? Что может быть причиной этого?
Как описано здесь, banaction = iptables-allports также работает. Тем не менее, хотя мне это нравится, это, вероятно, не удовлетворительное решение для многих пользователей, поэтому я был бы признателен за ответ, который справляется с проблемой, позволяющей fail2ban распознавать порт, отличный от обычного.