IPアドレスを自動的に永久に禁止する方法は？

fail2banbantine設定を使用して永久ブロックを構成できます。-1

存在するjail.conf

bantime = -1 

再起動すると、これらの情報は失われますが、ボットネットに感染した家庭用コンピュータの多くの試みは寿命が短いため必ずしも悪いわけではありません。

持続したい場合はそうです。https://arno0x0x.wordpress.com/2015/12/30/fail2ban-permanent-pertant-bans/いくつかの指示が提供される場合があります。

デフォルトではfail2ban、禁止されているすべてのIPの永続構成ファイルを生成し、再起動時にiptablesがこのリストをロードするように構成を変更します。

したがって、デフォルト値を確認すると、jail.confデフォルトタスクがであることがわかりますiptables-multiport。この対応する構成ファイル/etc/fail2ban/ction.d/iptables-multiport.conf

次の項目を追加できます。

[Definition]
# Option:  actionstart
# Notes.:  command executed once at the start of Fail2Ban.
# Values:  CMD
#
actionstart = iptables -N fail2ban-<name>
              iptables -A fail2ban-<name> -j RETURN
              iptables -I <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
          cat /etc/fail2ban/persistent.bans | awk '/^fail2ban-<name>/ {print $2}' \
          | while read IP; do iptables -I fail2ban-<name> 1 -s $IP -j <blocktype>; done

# Option:  actionstop
# Notes.:  command executed once at the end of Fail2Ban
# Values:  CMD
#
actionstop = iptables -D <chain> -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
             iptables -F fail2ban-<name>
             iptables -X fail2ban-<name>

# Option:  actioncheck
# Notes.:  command executed once before each actionban command
# Values:  CMD
#
actioncheck = iptables -n -L <chain> | grep -q 'fail2ban-<name>[ \t]'

# Option:  actionban
# Notes.:  command executed when banning an IP. Take care that the
#          command is executed with Fail2Ban user rights.
# Tags:    See jail.conf(5) man page
# Values:  CMD
#
actionban = iptables -I fail2ban-<name> 1 -s <ip> -j <blocktype>
        echo "fail2ban-<name> <ip>" >> /etc/fail2ban/persistent.bans

fail2banアイテムが表示されると、設定を介して行/etc/fail2ban/persistent.bans が追加されますactionban。fail2ban起動時にactionstartこのファイルを読み、iptables必要なルールを作成します。

もちろん、fail2ban設定ファイルを変更した後は再起動が必要です。

どちらも「arno0x0x」と彼のWordPressサイトのおかげです。