Logs effacés.

[piper]

Pour protéger ssh avec fail2ban, tu n'as même pas besoin de comprendre comment fonctionne le pare-feu.
Il suffit de dire à fail2ban qui tu utilises firewalld ou iptables et que tu active la règles de protection de ssh
Tu obtiendras une protection minimale mais suffisante dans bien des cas (bannissement pendant 10 minutes après 3 tentatives d'authentification ssh infructeuses)

Un pare-feu est nécessairement une usine à gaz s'il c'est un vrai pare-feu (je veux dire par là que les cas à traiter sont nombreux)

Et si, effectivement, j'ai longtemps préféré firewalld (lors de sa sortie, à cause de sa syntaxe plus claire) à iptables , j'en suis revenu pour des raisons de performances :

En effet, lorsque fail2ban travaille, et particulièrement si vous activez la règle de bannissement pour tentatives de récidives, le nombre d'ip bloquées peux monter à des centaines , voir un millier ou plus pour un serveur en prod, hébergeant des sites que vous avez référencé correctement sur les moteurs de recherche
A ce niveau là, firewalld devient d'une lenteur absolue (lorsque vous ajoutez ou supprimez une règle manuellement), alors que iptables continue de réagir au car de tour.

Ceci est démonstratif, si vous avez mis des bannissements permanents : avec fail2ban sur firewalld, le reboot d'un serveur bien équipé peut prendre 6 minutes (donc 5 minutes pour que les services fail2ban/firewalld s'arrêtent)

Du coup, je n'utilise plus fail2ban (sauf pour les tentatives d''attaques via un formulaire sur site web)
Pour ssh et d'autres services d'administration, je mets en place des règles de pare-feu qui n'autorisent que certaines ip à se connecter (celles que moi ou mon équipe on est susceptible d'utiliser)
Et cela, en plus des clés d'authentifications.