Estamos usando o HAproxy como um balanceador de carga / proxy de front-end e estamos procurando soluções para bloquear endereços IP aleatórios contra o congestionamento do cluster.
Existe alguém familiarizado com um conf para HAProxy que pode bloquear solicitações se exceder um certo limite de um único IP dentro de um período de tempo definido. Ou alguém pode sugerir uma solução de software que poderia ser colocada na frente do HAProxy para lidar com esse tipo de bloqueio.
fail2ban é capaz de adicionar regras de firewall (iptables) para bloquear o tráfego em resposta a entradas do arquivo de log, portanto, se você puder fazer entradas de log de gravação HAProxy para solicitações, o fail2ban pode limitar o limite para você.
Apenas use IPtables regulares. O exemplo abaixo é para ssh, espero que você tenha a idéia.
de link
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP
Existe também o módulo "hashlimit", mas ainda não tentei
Dependendo se você deseja que os ips recusados sejam mantidos durante as reinicializações ou não. Essas rotas são perdidas durante uma reinicialização (a menos que você adicione a rc.local, etc). Mas em uma situação difícil, quando tive pessoas desagradáveis martelando em alguns de nossos sistemas, acabei de adicionar uma rota nula ao servidor haproxy.
route add -host [net] Destino [/ prefixo] gw 127.0.0.1
Isso é rápido, não requer edição de iptables e pode ser removido simplesmente pela remoção da rota.