Modificar automaticamente iptables com base nos dados do log do Apache para bloquear clientes mal comportados
Existe alguma ferramenta no Linux para modificar automaticamente iptables para bloquear um cliente problemático com base em uma análise do log do Apache? Eu ajudo a executar um site que às vezes fica sobrecarregado por solicitações de um determinado usuário. A única solução é adicionar uma entrada em iptables para bloquear o cliente ofensivo. É geralmente tarde demais no momento em que posso reagir manualmente - portanto, gostaria de algum mecanismo baseado em regras para modificar os iptables. Eu acho que algum tipo de lógica fuzzzy ou análise estatística seria necessária.
Você pode usar algo como Fail2Ban , que IIRC, tem um verificador de log do Apache embutido.
Você pode querer considerar o uso de iptables para limitar as conexões recebidas. Que em sua configuração mais básica lhe dará a capacidade de limitar as conexões recebidas a um número por minuto.
Por exemplo, você pode querer permitir apenas 10 pênses por minuto de um único endereço IP. Fica um pouco mais sofisticado do que isso, com a opção de definir limites de explosão em cima dos limites médios de longo prazo.
Algumas boas instruções sobre como configurar http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_ptables/