Salut
J'ai une connexion fibre SFR avec la box fournie par SFR. J'ai un serveur Linux branchée sur cette box, un NAT du port SSH sur la box vers le serveur sur lequel je souhaite mettre en place du fail2ban. Sauf que quand je regarde les logs, en IP source j'ai l'IP de ma box... (donc si j'ai un ban il va bannir l'IP de ma box)
Il n'y a rien à faire côté serveur pour contourner ça ? Tout se fait côté box et vu qu'il n'y a pas grand chose de configurable c'est mort ?
Merci !

bizarre, ce nat
normalement, l'ip source de la connexion arrivant a ton serveur devrait être l'ip publique de celui qui se connecte, non pas celle de ta box    
ptêt un parametre dans le nat a vérifier sur la box ?

Merci
Malheureusement sur la box SFR tu n'as pas trop de choix dans les paramètres, je vais refaire un tour dans les paramètres complets mais je n'avais rien vu.
Et oui je m'attendais à avoir l'IP publique mais que ce soit dans les logs auth.log pour SSH ou dans access.log pour le HTTP j'ai toujours l'IP 192.168.1.1 en source (celle de ma box SFR).
Je vais tester sur la box d'un ami qui n'a pas le même modèle voir si c'est la même chose...

Ok je pense avoir compris le fonctionnement, je n'avais pas pu faire ces tests avant.
Quand je suis sur le même LAN que le serveur cible, et même si j'utilise l'adresse publique pour accéder à ce serveur, à priori il doit reboucler sur l'adresse du LAN et m'affiche 192.168.1.1
Quand je suis sur une connexion distante, j'ai bien l'IP source qui s'affiche.
Donc désolé pour cette fausse question, j'aurais du tester avant.
Par contre je vois qu'il y a pas mal de scan sur mon SSH venant d'un certain nombre d'IP source, il est temps que je change le port par défaut et que je mette en place le fail2ban...

Ok, ça explique. (du coup si t'es sur le meme lan, pas besoin de passer par l'ip publique )
Sinon, si t'as laissé le port 22 par défaut, tu vas te faire scanner par la terre entière, chaque jour, tout le temps

j'ai la meme config que toi.
et j'ai changé le port 22 par un truc en xxxx, pas de soucis à déplorer

Non en LAN je passe direct par le LAN mais c'était pour tester sur une connexion venant de l'extérieur, j'aurais cru qu'en passant par l'IP publique il m'affiche l'IP publique en source mais non, au moins j'aurais appris un truc  
 

Oui c'est ce que je vais faire, ou alors je peux publier sur un port xxxxx et le transférer sur le port 22 en interne aussi, à voir.
Mais on est d'accord sur le faire de modifier le port par défaut
Merci à vous

Ca ne présente pas de risque d'être sur le port par défaut tant que tu as des bons mots de passe (ou clés), a fortiori avec fail2ban.  
Tu peux le faire si tu veux mais d'un point de vue sécu ça n'apporte rien de concret.

Niveau mot de passe je pense que je suis tranquille vu que je suis en clés fail2ban je vais le mettre en place ça ne peut qu'apporter du plus.
Après le port par défaut même si la personne ne pourra pas forcément se connecter tu limites le nombre de tentatives de connexion sur ton serveur et tu évites de remplir les logs avec ces mêmes tentatives. Et puis ça ne coûte pas grand chose de le changer, à moins que tu aies des softs ou autres qui nécessitent absolument un port 22 tous les avis sont bons à prendre merci