Tự động sửa đổi iptables dựa trên dữ liệu nhật ký Apache để chặn các máy khách có hành vi xấu

Có công cụ nào trên Linux để tự động sửa đổi iptables để chặn một máy khách rắc rối dựa trên phân tích nhật ký Apache không? Tôi giúp chạy một trang web đôi khi bị choáng ngợp bởi các yêu cầu từ một người dùng cụ thể. Giải pháp duy nhất là thêm một mục trong iptables để chặn ứng dụng khách vi phạm. Nó thường quá muộn khi tôi có thể phản ứng bằng tay - do đó, tôi muốn một số cơ chế dựa trên quy tắc để sửa đổi các iptables. Tôi đoán rằng một số loại logic mờ hoặc phân tích thống kê sẽ là cần thiết.

Bạn có thể sử dụng một cái gì đó như fail2ban , mà IIRC, có trình kiểm tra nhật ký Apache được tích hợp.

Bạn có thể muốn xem xét sử dụng iptables để giới hạn tốc độ kết nối đến. Mà trong cài đặt cơ bản nhất của nó sẽ cung cấp cho bạn khả năng giới hạn các kết nối đến một số mỗi phút.

Ví dụ: bạn có thể chỉ muốn cho phép 10 ping mỗi phút từ một địa chỉ IP duy nhất. Nó phức tạp hơn thế một chút, với tùy chọn đặt giới hạn nổ trên đầu giới hạn trung bình dài hạn.

Một số hướng dẫn tốt về cách thiết lập nó http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Kiểm tra OSSEC . Phân tích tệp nhật ký tốt nhất tôi đã sử dụng. Nó cũng hỗ trợ phản ứng tích cực dựa trên phân tích.