Modifica automaticamente o iptables com base nos dados de log do Apache para bloquear clientes mal comportados

14

Existe alguma ferramenta no Linux para modificar automaticamente o iptables, de modo a bloquear um cliente problemático com base em uma análise do log do Apache? Eu ajudo a executar um site que às vezes fica sobrecarregado por solicitações de um usuário específico. A única solução é adicionar uma entrada no iptables para bloquear o cliente ofensivo. Geralmente é muito tarde quando eu posso reagir manualmente - portanto, eu gostaria que algum mecanismo baseado em regras modificasse o iptables. Eu diria que algum tipo de lógica confusa ou análise estatística seria necessária.

    
por Rangachari Anand 30.04.2009 / 20:30

3 respostas

10

Você pode usar algo como fail2ban , que o IIRC, possui um verificador de log do Apache incorporado.

    
por 30.04.2009 / 20:43
4

Você pode querer considerar o uso do iptables para limitar as conexões de entrada. Que na sua configuração mais básica lhe dará a capacidade de limitar as conexões de entrada para um número por minuto.

Por exemplo, você pode querer permitir apenas 10 pings por minuto a partir de um único endereço IP. Ele fica um pouco mais sofisticado do que isso, com a opção de definir limites de estouro além dos limites médios de longo prazo.

Algumas boas instruções sobre como configurar o link

    
por 30.04.2009 / 20:44
2

Confira OSSEC . Melhor analisador de arquivos de log que eu usei. Também suporta respostas ativas baseadas em análises.

    
por 14.06.2009 / 10:02