Пока просто изучаю и уже успел увидеть пару неоднозначных моментов, которые хочу обсудить не с нейронками. Конфиг ниже, на идеальность не претендую, чисто для контекста
[DEFAULT]
bantime.increment = true
bantime.rndtime = 2048
bantime.multipliers = 1 5 30 60 300 720 1440 2880
ignoreip = 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
[nginx-bot]
enabled = true
port = http,https
filter = nginx-bot
logpath = /var/log/nginx/access.log
maxretry = 1
findtime = 600
bantime = 1d
action = iptables-multiport[name=nginx-bot, port="http,https", protocol=tcp, blocktype=DROP]
backend = polling
1. Банить поштучно неэффективно. А без инкремента еще и глупо. Боты часто ходят пачками, но получив 4хх, сильно не долбят, чаще пробив wp-login/luci на дурачка. Можно было бы банить подсетями хотя бы в /24, но правила все равно привязаны к хостам, поэтому рецидивист с другим IP после разбана подсети пройдет как новый. Инкремент теряет смысл - без него подсеть теряет смысл - а без нее одиночные баны выглядят как фиговый листочек.
2. Банить по abuseipdb можно, но не уверен что нужно. Предполагаемая нагрузка на сеть и обновления iptables может быть сравнима с drop/404 всем, кто не прошел Port Knocking
3. Защищать ssh нафиг не нужно, т.к. после проброса сертификата доступ по паролю отключается. Да и порт 22 нормальные люди меняют
4. Если слава все таки нахлынула, то от дудоса f2b все равно не спасет или см п.2
5. [upd] Вся ценная внутрянка за впн, давно практикую и всем советую
Итого: работает, банит, вроде всё хорошо, но есть какое-то ощущение ненужности. Может я что-то упустил или f2b нужен для каких-то специфичных сценариев?
