Am 09.12.2012 12:49, schrieb Michael Renner: > wir betreiben einen Apache 2.2.16 unter Debian. Die primäre Anwendung ist > Wordpress mit sehr vielen Sites. Wegen des Datenschutzes kommt mod_removeip > zu > Einsatz, das die IP-Adresse der Clients wohl schon sehr früh in der > Verarbeitungskette ausfiltert. Wordpress bekommt von der IP-Adresse auf jeden > Fall nichts mehr mit. > > Nun gibt es gelegentlich Brute-Force-Angriffe auf die Loginseiten und auch > DOS-Angriffe auf die einzelnen Sites. > > Wir mochten nach einer bestimmten Anzahl von Zugriffen/IP/Zeiteinheit gerne > für diese IP dicht machen. Aber wie, wenn die IP immer 127.0.0.1 lautet?
Das gehört lange VOR dem Apache gemacht! Schon alleine weil du damit auch DOS-attacken abfederst weil ein guter Teil gar nicht mehr bis zum Webserver kommt und mehr als 150 connections / 2 sekunden und IP sind selten normal iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --set iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount 150 -j DROP iptables -I INPUT -p tcp -i eth0 -m state --state NEW -m recent --update --seconds 2 --hitcount 150 -m limit --limit 60/h -j LOG --log-prefix "Firewall Rate-Control: " ______________________________________________ Das bracuht es auch damit 150-200 funktioniert! [root@srv-rhsoft:~]$ cat /etc/modprobe.d/iptables-recent.conf options ipt_recent ip_list_tot=10000 ip_pkt_list_tot=200
signature.asc
Description: OpenPGP digital signature