У меня много сканирований уязвимостей через HTTP-запросы (попытки получить /password.txt и т. Д.). В настоящее время я использую fail2ban для анализа журнала доступа Nginx для подсчета 404 и запрета IP-адресов злоумышленников. Мне интересно, можно ли вместо этого просто настроить iptables для ограничения скорости HTTP-запросов?
Я пробовал что-то вроде этого
iptables -I INPUT -p tcp --dport 2012 -i eth0 -m state --state NEW -m recent --updat…e --seconds 60 --hitcount 5 -j REJECT --reject-with icmp-host-unreachable
но, видимо, это не работает должным образом. Я предполагаю, что вредоносные HTTP-запросы передаются через одно постоянное соединение, поэтому указанное выше правило iptables не срабатывает.
Итак, мой вопрос: можно ли ограничить скорость HTTP-запросов в iptables, или я должен придерживаться fail2ban? Спасибо!
Проблема в HTTP 1.1. Вам нужно будет настроить свой веб-сервер на понижение версии соединения до 1.0, чтобы отключить поддержку активности, если вы хотите, чтобы это работало.