Apache de limite de taxa com lista negra e lista de permissões

Um par de ajustes foram necessários sobre o acima. Isso funciona:

sudo ipset -N whitelist nethash
sudo ipset --add whitelist 68.180.228.175
sudo iptables -A INPUT -m set --match-set whitelist src -j ACCEPT
sudo iptables -N BLOCK24
sudo iptables -A BLOCK24 -m recent --name blocked --set
sudo iptables -A INPUT -m state --state NEW -m recent --set
sudo iptables -A INPUT -m state --state NEW -m recent --update --seconds 20 --hitcount 20 -j BLOCK24
sudo iptables -A INPUT -m recent --name blocked --rcheck --seconds 86400 -j BLOCK24
sudo iptables -A BLOCK24 -j LOG --log-prefix='[NETFILTER] ' --log-level 7
sudo iptables -A BLOCK24 -j REJECT

Tudo o que você está procurando está disponível no netfilter (e muito mais! ;-)).

A correspondência de um conjunto de intervalos de IPs à lista de permissões pode ser feita com ipsets e a extensão de correspondência "set":

ipset -N whitelist nethash

ipset --add whitelist 1.2.3.4/24

Em seguida, no iptables do netfilter:

iptables -A INPUT -m set --match-set whitelist src -j ACCEPT

Para bloqueio durante 24 horas, você precisa das extensões de correspondência "recentes" duas vezes: uma para verificar a taxa de entrada e outra para lembrar de fontes bloqueadas:

iptables -N BLOCK24
iptables -A BLOCK24 -m recent --name blocked --set

iptables -A INPUT -m recent --name beforeblock --rcheck --seconds 1 --hitcount 1 -j BLOCK24

Isto irá corresponder se dois pacotes em um segundo. E agora, para bloquear fontes, basta compará-las com a lista recente "bloqueada". Esta regra deve estar entre as primeiras regras do iptables.

iptables -A INPUT -m recent --name blocked --recheck --seconds 86400 -j DROP

O documento necessário está aqui: extensões iptables e ipsets . Claro, pode adicionar -p tcp --dport 80 se estas regras se aplicarem apenas a http.