Pouzivam F2B asi 5 let na 4 serverech. Zkusenost neni zas tak idealni, jak to vypada F2B je postavena na scriptech, coz na jednu stranu dava moznosti pomerne velke customizace a ohnuti i jinym smerem (neni nutne jen blokovat IP, ale v podstate lze udelat cokoliv, presmerovat web atd.., reportovat na spamhaus atd..
Na druhou stranu:
a] svym zpusobem zatezuje system narazove.
b] je celkem neefektivni proti probihajicimu utoku, vetsinou zareaguje az po nekolika sekundach a prakticky je nemozne toto chovani zmenit (to by zas server nedelal nic jineho nez F2B).. Takze utoky pobezi a nekteri podle reakce serveru, ktery zablokuje provoz az po nekolika sekundach, automaticky presunou utok a pokracuji z jine IP.. fakticky tak dokazou uplne vytocit CPU na 100%.
c] bezne blokovani 5min nema zadny smysl, utok bezne pokracuje znova za 5 min.. rozsireni na 10 min znamena zas vetsi potize pro ty regulerni uzivatele, kteri se uklepnuli jen..
d] F2B musi bezet na serveru, kde jsou ony sluzby hlidane. A je zavislej na tom, co prave napadane sluzby (a jak casto) loguji.. Zmeny v nastaveni sluzeb a jejich logovani tak maji dopad i F2B a to uz je pri cele komplexnosti reseni dost na palici vse uhlidat..
e] na druhou stranu je prijemna doplnkova identifikace z RIPu atd..
Take je pravda to o tom kvantu iptables recordu co tu nekdo psal uz.. dneska mi server nabiha cca 15min a z toho 14min zavadi iptables a CPU 99%.. Opticky to pri velkych uptimech neva, ale iptables se obcas udrzuji take..
F2B neni spatny koncept (a neni jedinej existujici), ale prakticke uziti je spis kompromisem, a nelze se spolehat jen na nej rozhodne..
Sluzby pre userov mozes blokovat na par minut, sluzby pre teba (ssh, rozne admin rozhrania webov) kludne na dni alebo aj tyzden. S preplnenymi iptables som za 5 rokov problem este nemal, max tam mam do 100 zaznamov kvoli smtp (blokujem na hodinu po 10 relay denied pokusoch). Ano, 99% cpu zataz pri starte fail2ban sposobuje, ale to je kvoli tomu ze pri starte parsuje vsetky aktualne logy od zaciatku.
A ako uz niekto spomenul, porovnavat fail2ban s iptables recent je blbost. Jeden obmedzuje pocet pripojeni (dobrych aj zlych) a druhy blokuje tych, co sa nevedia prihlasit a pritom legitimne connections nijak neobmedzuje.