Автоматическое изменение iptables на основе данных журнала Apache для блокировки клиентов с плохим поведением

Есть ли в Linux какой-либо инструмент для автоматического изменения iptables с целью блокировки проблемного клиента на основе анализа журнала Apache? Я помогаю запустить сайт, который иногда перегружен запросами конкретного пользователя. Единственное решение состоит в том, чтобы добавить запись в iptables, чтобы заблокировать нарушающего работу клиента. Обычно уже слишком поздно, когда я могу реагировать вручную - следовательно, я хотел бы, чтобы какой-то механизм на основе правил модифицировал iptables. Я бы предположил, что какая-то нечеткая логика или статистический анализ были бы необходимы.

Вы можете использовать что-то вроде fail2ban , в котором IIRC встроена проверка журнала Apache.

Возможно, вы захотите использовать iptables для ограничения скорости входящих соединений. Который в своей основной настройке даст вам возможность ограничить количество входящих соединений числом в минуту.

Например, вы можете разрешить только 10 пингов в минуту с одного IP-адреса. Это становится немного более сложным, чем с возможностью установки пределов всплеска поверх долгосрочных средних пределов.

Несколько хороших инструкций по настройке http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Проверьте OSSEC . Лучший анализатор лог-файлов, который я использовал. Он также поддерживает активный ответ на основе анализа.