Modifique automáticamente iptables en función de los datos de registro de Apache para bloquear clientes con mal comportamiento

¿Existe alguna herramienta en Linux para modificar automáticamente iptables para bloquear un cliente problemático basado en un análisis del registro de Apache? Ayudo a ejecutar un sitio que a veces se abruma por las solicitudes de un usuario en particular. La única solución es agregar una entrada en iptables para bloquear al cliente infractor. Por lo general, es demasiado tarde para cuando puedo reaccionar manualmente, por lo tanto, me gustaría algún mecanismo basado en reglas para modificar las iptables. Supongo que sería necesario algún tipo de lógica difusa o análisis estadístico.

Puede usar algo como fail2ban , que IIRC tiene incorporado un comprobador de registro de Apache.

Es posible que desee considerar el uso de iptables para limitar las conexiones entrantes. Lo cual en su configuración más básica le dará la capacidad de limitar las conexiones entrantes a un número por minuto.

Por ejemplo, es posible que desee permitir solo 10 pings por minuto desde una sola dirección IP. Se vuelve un poco más sofisticado que eso, con la opción de establecer límites de ráfaga por encima de los límites promedio a largo plazo.

Algunas buenas instrucciones para configurarlo http://kevin.vanzonneveld.net/techblog/article/block_brute_force_attacks_with_iptables/

Echa un vistazo a OSSEC . El mejor analizador de archivos de registro que he usado. También es compatible con la respuesta activa basada en el análisis.