[s.lobanov]

Как известно, одному абоненту ipv6 может быть выдано от /127 до /48(крупный клиент)

 

Каковы best practices на сегодняшний день относительно блокировки силами fail2ban? (какой префикс использовать при добавлении правила на блокировку?)

 

Как бы совсем недорого получить и /32 v6. И если банить по /64 или даже по /56, в этом случае атакующий может легко проводить атаку по переполнению кол-ва записей в ipset

[dignity]

Добрый день, в жестком варианте можно ведь найти наименьшую общую суперсеть из A и B и добавить в бан, скажем /64, /64 -> /63, это упрощенно, обычно, придется сложнее вверх подниматься, но, как правило, в f2b записей не очень много, трудозатраты вряд ли будут высокими.