Автоматическое изменение iptables на основе данных журнала Apache для блокировки клиентов с плохим поведением

14

Есть ли в Linux какой-либо инструмент для автоматического изменения iptables с целью блокировки проблемного клиента на основе анализа журнала Apache? Я помогаю запустить сайт, который иногда перегружен запросами конкретного пользователя. Единственное решение состоит в том, чтобы добавить запись в iptables, чтобы заблокировать нарушающего работу клиента. Обычно уже слишком поздно, когда я могу реагировать вручную - следовательно, я хотел бы, чтобы какой-то механизм на основе правил модифицировал iptables. Я бы предположил, что какая-то нечеткая логика или статистический анализ были бы необходимы.

Рангачари Ананд
источник

Ответы:

10

Вы можете использовать что-то вроде fail2ban , в котором IIRC встроена проверка журнала Apache.

Глен Солсберри
источник
fail2ban очень близок к тому, чтобы делать то, что я хочу. Похоже, мне придется немного покопаться в источнике.
Рангачари Ананд
4

Возможно, вы захотите использовать iptables для ограничения скорости входящих соединений. Который в своей основной настройке даст вам возможность ограничить количество входящих соединений числом в минуту.

Например, вы можете разрешить только 10 пингов в минуту с одного IP-адреса. Это становится немного более сложным, чем с возможностью установки пределов всплеска поверх долгосрочных средних пределов.

Несколько хороших инструкций по настройке http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Парень с
источник
Отлично - я понятия не имел, что iptables может даже сделать это. Это может быть очень полезно.
Рангачари Ананд
Я найду превосходное руководство, которое я недавно прочитал на нем
Парень C
2

Проверьте OSSEC . Лучший анализатор лог-файлов, который я использовал. Он также поддерживает активный ответ на основе анализа.

GNUix
источник