Bruteforce d'un serveur

J’ai un petit soucis avec un de mes serveurs et j’aurais besoin de conseil.

Il est continuellement attaqué par des bruteforcers particulièrement motivés et se mange plusieurs centaines (parfois milliers) de tentatives d’accès ssh et ftp par jour, sur à peu près tous les ports imaginables.
J’ai mis en place un système de ban d’IP au bout de 5 tentatives d’accès, genre fail2ban, mais ça n’a pas significativement diminué les attaques.

J’ai donc passé à la méthode au-dessus, en bannissant toutes les ip trouvée ici via iptables. Ca a été radicale, je n’ai plus que quelques attaques par jour, rapidement bannies au bout de 5 tentatives.
J’aurais pu en être très content, mais…

Mon serveur héberge un jeu en ligne, et certains joueurs commencent à se plaindre qu’ils ne peuvent plus se connecter. Une fois iptables purgé, ils peuvent se connecter à nouveau. En gros, certains ont des IP associés à des bruteforcers (ceux de chez free en particulier).

Bref, ma solution qui me semblait pas si mal devient une méthode parfaitement inutilisable dans le contexte de mon serveur.

Auriez-vous des méthodes efficaces pour bloquer le bruteforcage sans pénaliser les joueurs (ou le minimum), donc ne bannissant que les IP des bruteforcers voire dans le pire cas celles des bruteforcers parfaitement connus et identifiés?

alors il y avait un module pam experimental comme alternative à fail2ban, et auquel je m’etais interessé à un moment (mais j’ai jamais testé):
lists.debian.org/debian-security … 00023.html
Tu peux aussi faire tourner ton ssh sur un autre port ?

Même en changeant de port SSH ? par exemple

mais en quoi ces brutesforce te dérangent ? Car si tu as une bonne ton SSH a une bonne config (interdire root de pouvoir se connecter directement, indiqués les utilisateurs autorisés à se connecter, etc.), tu aura juste des logs pleins, rien de plus, aucune attaque directe sur le serveur.

Ben les bruteforces que je vois en eux-même ne me dérangent pas, c’est plutôt ceux que je ne vois pas qui me font peur, parce que ça veut dire qu’ils sont passés :stuck_out_tongue:
Ma config ssh interdit le root et autorise seulement quelques rares logins, mais je commence à voir apparaître ces fameux logins comme pseudo de connexion testés par les bruteforcers, et de manière répétée! Il ne manque plus que le pass et ils sont dans la place!

Mets de bons mots de passe bien longs…enfin, je sais pas, sois logique…tu as changé le port de SSH ? Genre le port 65 ? …