Как интерпретировать и реагировать на журнал Shorewall?

Я вижу следующий шаблон каждые 2-3 секунды в течение нескольких минут в syslog:

Shorewall:net2fw:DROP:IN=eth0 OUT= MAC=aa:bb:cc:dd:ee:ff:gg:hh:ii:jj:kk:ll:mm:nn SRC=12.34.56.78 DST=98.76.54.32 LEN=60 TOS=0x00 PREC=0x00 TTL=41 ID=12746 DF PROTO=TCP SPT=41611 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0 

где значения в ID и SPT различаются в каждой строке. Сервер – Debian 6.0, с shorewall и fail2ban.

Как я могу сузить то, что происходит, и использовать fail2ban и shorewall, чтобы лучше блокировать это?

Мое решение попало в этот фильтр Fail2ban:

 failregex = DROP:IN=eth0 OUT= MAC=[a-zA-F0-9:]+ SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN= DROP:IN=eth0 OUT=vmbr0 SRC=<HOST> DST=([0-9]{1,3}\.?){4} LEN= 

добавлен в /etc/fail2ban/filter.d/sshd-ddos.conf

Он запрещает эти запросы на порт ssh.