Effectivement...
J'avais lu sur le web una rticle sur un script permettant de bannir
temporairement
l'acces au serveur depuis ces ip.
portsentry peut, je pense faire l'affaire; il permet de bannir les ip
qui tentent des scans en ajoutant des règles au fw.
Sinon, tu grep auth.log et tu ajoutes les règles au fw; ça peut se
scripter facilement. Mais dans la mesure où il ne s'agit pas vraiment
d'attaque (ça reste ponctuel dans le temps), tu risques de bloquer des
ip d'innocents... C'est pourquoi, je pense qu'une solution plus réactive
(portsentry) est mieux adaptée.