Как лучше блокировать адреса хакеров
В настоящее время всё на автомате после нескольких неудачных попыток адрес попадает в чёрный список.
Одна большая проблема, что список ограничен, в настоящее время 500 записей всего
Можно еще вручную блокировать целые диапазоны
https://www.ipaddressguide.com/cidr
Но можно заблокировать и сервера обновлений и почтовые сервера. Есть ли уже готовый "велосипед"?
Как лучше блокировать адреса хакеров
Смотря какая операционная систем, см. https://docs.rackspace.com/support/how-to/block-an-ip-address-on-a-Linux-server/, https://www.e2enetworks.com/help/knowledge-base/how-to-block-ip-address-on-linux-server/, https://losst.ru/kak-zablokirovat-ip-v-iptables
Моя ФЛ Он и ОнаВообще самое надёжное решение это в cookies зафигачивать чего-нибудь, если нет в куках ничего, то блокировать, т.к. хакеры не через браузер пытаются залесть, а через какие-то определённые программы.
Моя ФЛ Он и Она
после каких именно неудачных попыток ? в какой список ? и почему он ограничен 500 записями ?
Всё это считалось не относящимся к вопросу. 
Считаются попытки подбора пароля для логина по SSH, то что правильный логин на другом порту, не так важно, пусть ломятся.
Список есть у firewall черный и белый. Ограничен по причине эффективности думаю, увеличить раза в 2/3 можно, было но нужно тыс. 30 думаю.
Я пришел к выводу, что достаточно банить IP всего на сутки. Большинство переборов пароля ssh с одного адреса после суток блокировки уже не возобновлялись.
Да и если продолжат - невелика беда - их скан уже замедлен в тысячи раз и при разумно сложных паролях на него можно просто не обращать внимания.
А "постоянный" черный список был минимальный, туда я крайне редко заносил руками тех, кто, например, въедливо ковырялся по нескольким портам.
Всё это считалось не относящимся к вопросу.
ну вообще ода и та же проблема кардинально по разному решается для разных протоколов. например ssh и smtp
пускай ssh слушает на нестандартном порту, вот и все. Зачем кого-то блокировать ? Пустая трата времени.
тому какие 500 из 12.000 выбрать и сколько держать.
Ну так это можно решить простой статистикой, а АИ для первичной тренировки нужен массив данных с результатами.
Как то был в проекте, так там целая фирма только и занималась тем что готовила данные для автопрома "тесла вариант". Именно для обучения АИ.
Зачем кого-то блокировать
тоже вариант, но исхожу из того, что каждый запускает целый пакет "нападения". Пусть хоть где то засветится. Не уверен что ssf учитывает и smtp логин.
Пустая трата времени.
Ну пока всё из коробки работает на автомате. Просто подумал, может быть можно сделать лучше?
Да и с некоторыми вещами можно поглубже разобраться, а для для этого как раз и удобно решать какую то проблему.
Скорее всего "постоянный" список вообще по большому счету не нужен.
Я сперва тоже вносил в черный список автоматически и навсегда. И параноидально блокировал любой трафик с провинившихся хостов, т.е. проверка черного списка была первым правилом в ipchains. Очень быстро стало тормозить все (было заметно на передаче файлов). Оставил фильтрацию только SYN и только по 22 порту. Так уже не мешало совсем, даже с большим списком.
А потом посмотрел, как часто срабатывают правила из этого списка. Оказалось, что практически никогда. И тогда сделал чистку списка по времени.
Руками как раз и не хочется на постоянке
Поставьте касперский на линукс https://www.kaspersky.de/small-to-medium-business-security/linux-mail-server, когда я захожу на mail ru, раньше там было написано что вся почта проверяется касперским антивирусом.
Моя ФЛ Он и Она