Reindl hat Recht. Ich nutze fail2ban welches die Logs vom apache auswerten kann und dann automatisch in die IP tables einträgt.
Gruß Mario 2012/12/9 Reindl Harald <h.rei...@thelounge.net>: > > > Am 09.12.2012 12:49, schrieb Michael Renner: >> wir betreiben einen Apache 2.2.16 unter Debian. Die primäre Anwendung ist >> Wordpress mit sehr vielen Sites. Wegen des Datenschutzes kommt mod_removeip >> zu >> Einsatz, das die IP-Adresse der Clients wohl schon sehr früh in der >> Verarbeitungskette ausfiltert. Wordpress bekommt von der IP-Adresse auf jeden >> Fall nichts mehr mit. >> >> Nun gibt es gelegentlich Brute-Force-Angriffe auf die Loginseiten und auch >> DOS-Angriffe auf die einzelnen Sites. >> >> Wir mochten nach einer bestimmten Anzahl von Zugriffen/IP/Zeiteinheit gerne >> für diese IP dicht machen. Aber wie, wenn die IP immer 127.0.0.1 lautet? > > Das gehört lange VOR dem Apache gemacht! > > Schon alleine weil du damit auch DOS-attacken abfederst weil > ein guter Teil gar nicht mehr bis zum Webserver kommt und mehr > als 150 connections / 2 sekunden und IP sind selten normal > > iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --set > iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update > --seconds 2 --hitcount 150 -j DROP > iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update > --seconds 2 --hitcount 150 -m limit > --limit 60/h -j LOG --log-prefix "Firewall Rate-Control: " > ______________________________________________ > > Das bracuht es auch damit 150-200 funktioniert! > > [root@srv-rhsoft:~]$ cat /etc/modprobe.d/iptables-recent.conf > options ipt_recent ip_list_tot=10000 ip_pkt_list_tot=200 > --------------------------------------------------------------------- To unsubscribe, e-mail: users-de-unsubscr...@httpd.apache.org For additional commands, e-mail: users-de-h...@httpd.apache.org
