Я использую ModSecurity и Fail2Ban на Apache2.4
Часто я получаю озорные удары по серверу, который пытается сделать что-то плохое. Нет проблем, Modsecurity и Fail2Ban его ловят и блокируют ЭТО IP.
Например, 192.99.13.29 попытается использовать инъекционную атаку, и она будет заблокирована, но затем 192.99.13.30, затем 192.99.13.31 и так далее, так что в действительности они получают столько выстрелов при взломе, сколько захотят.
Я хочу знать, могу ли я изменить Fail2Ban, чтобы вместо простого запрета этого ОДНОГО IP-адреса я мог использовать нотацию CIDR для запрета всего диапазона для этого конкретного IP-адреса при первом обращении?
Например, вместо того, чтобы 192.99.13.29 помещаться в черный список в IPTABLES, я хочу, чтобы 192.99.13.29/24 были внесены в черный список.
Кстати, это на сервере Apache 2.4 в Linux. Ответ заключался в том, чтобы обратиться к одному из онлайн-источников, которые предоставляют нотацию CIDR по странам. Итак, я просто получил список IP-адресов CIDR для всего США и на моем виртуальном хосте для рассматриваемого домена я добавил оператор Deny, Allow, затем разрешил все IP-адреса США и добавил Deny from All в конце этого списка.
Это работает, но не идеально. Я думаю, что было бы лучше поместить список в конфигурацию Apache2 по умолчанию 000, потому что они применимы ко ВСЕМ соединениям с сервером .... но для меня это не сработало.