Чи є в Linux інструмент для автоматичної модифікації iptables, щоб блокувати клопіткого клієнта на основі аналізу журналу Apache? Я допомагаю запустити сайт, який іноді переповнюється запитами певного користувача. Єдине рішення - додати запис у iptables, щоб заблокувати клієнта-порушника. Зазвичай це занадто пізно, коли я можу реагувати вручну, отже, я хотів би, щоб якийсь механізм, заснований на правилах, міняв iptables. Я б здогадався, що потрібна якась нечітка логіка чи статистичний аналіз.
Відповіді:
Ви можете використовувати щось на кшталт fail2ban , на якому IIRC, вбудована перевірка журналу Apache.
Ви можете розглянути можливість використання iptables для обмеження швидкості вхідних з'єднань. Що в його найосновнішому налаштуванні дасть вам можливість обмежити вхідні з'єднання числом в хвилину.
Наприклад, ви можете дозволити лише 10 пінгвів на хвилину з однієї IP-адреси. Це дійсно стає дещо складнішим, ніж це, з можливістю встановити межі вибуху поверх довгострокових середніх лімітів.
Деякі хороші вказівки щодо його налаштування http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/