Nginx

是否可以使用 iptables 對 HTTP 請求進行速率限制?

  • December 2, 2010

我通過 HTTP 請求進行了很多漏洞掃描(試圖獲取 /password.txt 等)。目前我使用fail2ban 來解析Nginx 訪問日誌來計算404 並禁止攻擊者IP 地址。我想知道是否可以簡單地配置 iptables 來限制 HTTP 請求的速率?

我嘗試過這樣的事情

iptables -I INPUT -p tcp --dport 2012 -i eth0 -m state --state NEW -m recent  --updat…e --seconds 60 --hitcount 5 -j REJECT --reject-with icmp-host-unreachable

但顯然它沒有按預期工作。我的猜測是惡意 HTTP 請求通過單個持久連接進行管道傳輸,因此不會觸發上述 iptables 規則。

所以我的問題是:是否可以在 iptables 中限制 HTTP 請求的速率,或者我應該堅持使用 fail2ban?謝謝!

問題是 HTTP 1.1。如果你想讓它工作,你必須配置你的 web 伺服器以將連接降級到 1.0 以終止 keepalive。

引用自:https://serverfault.com/questions/208341