Problema
Estou tentando configurar o fail2ban para bloquear ataques de ddos usando o trecho mostrado aqui .
Basicamente, ele verifica todas as solicitações e, se qualquer IP individual fizer mais de 240 solicitações em 60 segundos, ele as bloqueará por dois dias.
No entanto, todos os registros no meu acesso nginx são de 127.0.0.1, o que torna a coisa toda sem sentido.
O que poderia fazer com que o nginx registrasse todo o tráfego proveniente do servidor?
(Estou executando o Drupal em uma pilha LEMP com configuração nginx do perusio .)
Como você tem verniz na frente do nginx, ele acha que todas as solicitações são provenientes do 127.0.0.1, já que tecnicamente elas são.
Para resolver isso, use o módulo ip nginx real para escolher o endereço IP do cliente fora do X-Forwarded-For header, que o Varnish adiciona automaticamente aos pedidos (a menos que você tenha dito que não).
Um exemplo de configuração do nginx seria:
set_real_ip_from 127.0.0.1;
real_ip_header X-Forwarded-For;
A parte de exemplo de configuração que Michael está falando está na configuração nginx de nível superior em /etc/nginx/nginx.conf se você estiver usando a configuração do Perusio.
http {
## MIME types.
include /etc/nginx/mime.types;
default_type application/octet-stream;
## FastCGI.
include /etc/nginx/fastcgi.conf;
## Default log and error files.
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;
## Use sendfile() syscall to speed up I/O operations and speed up
## static file serving.
sendfile on;
## Handling of IPs in proxied and load balancing situations.
set_real_ip_from 0.0.0.0/32; # all addresses get a real IP.
real_ip_header X-Forwarded-For; # the ip is forwarded from the load balancer/proxy
Você precisa alterar a 0.0.0.0/32 para a 127.0.0.1.