Estou tendo um problema em que alguém está usando uma VPN / proxy para martelar meu servidor. Eles escolhem URLs aleatórios do meu site e executam ~ 20 solicitações por segundo.
Depois de proibir o endereço IP, alguns minutos depois, um novo endereço IP ataca e martela um URL diferente.
Estou tentando resolver esse problema com o seguinte conjunto de regras, mas agora está funcionando. Alguém poderia me dizer o que estou fazendo errado?
table <blacklist> persist
block quick from <blacklist>
pass in log on $EXT_IF proto tcp from any to any port 80 \
flags S/SA keep state \
(max-src-conn-rate 10/5, overload <blacklist> flush global)