一、前言

fail2ban可以監視你的系統日誌，然後匹配日誌的錯誤信息執行相應的屏蔽動作。網上大部分教程都是關於fail2ban+iptables組合，考慮到CentOS 7已經自帶Firewalld，所以這裏我們也可以利用fail2ban+Firewalld來防CC攻擊和SSH爆破。

二、安裝fail2ban

fail2ban可以監控系統日誌，並且根據一定規則匹配異常IP後使用Firewalld將其屏蔽，尤其是針對一些爆破/掃描等非常有效。

#CentOS內置源並未包含fail2ban，需要先安裝epel源
yum -y install epel-release

安裝成功後fail2ban配置文件位於/etc/fail2ban，其中jail.conf為主配置文件，相關的匹配規則位於filter.d目錄，其它目錄/文件一般很少用到，如果需要詳細了解可自行搜索。

三、規則配置

新建jail.local來覆蓋fail2ban的一些默認規則：

參數說明：