Modifiez automatiquement iptables en fonction des données du journal Apache pour bloquer les clients mal comportés

Existe-t-il un outil sous Linux pour modifier automatiquement iptables afin de bloquer un client gênant basé sur une analyse du journal Apache? J'aide à gérer un site qui est parfois submergé par les demandes d'un utilisateur particulier. La seule solution consiste à ajouter une entrée dans iptables pour bloquer le client incriminé. Il est généralement trop tard au moment où je peux réagir manuellement - par conséquent, j'aimerais qu'un mécanisme basé sur des règles modifie les iptables. J'imagine qu'une sorte de logique floue ou d'analyse statistique serait nécessaire.

Vous pouvez utiliser quelque chose comme fail2ban , dont l'IIRC dispose d'un vérificateur de journal Apache intégré.

Vous voudrez peut-être envisager d'utiliser iptables pour limiter le débit des connexions entrantes. Ce qui dans son réglage le plus basique vous donnera la possibilité de limiter les connexions entrantes à un nombre par minute.

Par exemple, vous pouvez n'autoriser que 10 pings par minute à partir d'une seule adresse IP. Il devient un peu plus sophistiqué que cela, avec la possibilité de définir des limites de rafale en plus des limites moyennes à long terme.

Quelques bonnes instructions pour le configurer http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Découvrez OSSEC . Meilleur analyseur de fichiers journaux que j'ai utilisé. Il prend également en charge la réponse active basée sur l'analyse.