mit fail2ban zugriffe limitieren

[stefkey]

Super, danke!

Zum Punkt "...im Webserver limitieren" habe ich keine Idee, bzw finde ich keinen Ansatz. Anzahl pro Request pro IP? Wie soll ich diese in der apache Konfig begrenzen?

mod_evasive würde ich als nächstes installieren. (hatte ich schonmal, habe es aber wieder rausgenommen weil mein WebDAV Zugriff dann nicht funktionierte und ich es nicht konfiguriert bekommen habe damals. Ich versuche es nochmal)

 

[greystone]

Schau Doch mal in Google rein: Limit Max Requests per IP apache.

 

[stefkey]

hmm okay, d.h. Anzahl pro Requests pro Client-IP im Webserver limitiere ich mit einem geeigneten Modul. Richtig?

Denn in der apache.conf kann ich dahingehend nichts beschränken, oder doch?
Wie sieht das hier aus? Läuft eigentlich soweit stabil bisher:

<IfModule mpm_prefork_module>
    StartServers          5
    MinSpareServers       5
    MaxSpareServers      10
    MaxClients          50
    MaxRequestsPerChild   0
</IfModule>

Und weiter:
Ich habe mod_evasive nochmal angeworfen. Das schreibt aber ziemlich sofort einige IPs in iptables. Jedoch die polnische Nervensäge erkennt es nicht.
Was sagt ihr dazu:

[apache]

enabled  = true
port     = http,https
filter   = apache-auth
logpath  = /var/log/apache*/error.log
maxretry = 20

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = true
port      = http,https
filter    = apache-auth
logpath   = /var/log/apache*/error.log
maxretry  = 20


# Fail2Ban
[fail2ban]
enabled = true
filter = fail2ban
banaction = iptables-allports
protocol = all
port = anyport
logpath = /var/log/fail2ban.log
# findtime: 1 week
findtime = 604800
# bantime: 1 week
bantime = 604800
maxretry = 5
root@j2:/etc/fail2ban#

Welche IPs werden da gebanned? Sind die gerade online, oder findet er alte Einträge im error.log? Die Ips die er da blockiert sind alles deutsche und mir scheint das das ganz normale Menschen sind die auf der Forumsseite surfen.
Irgendwie ganz schön scharf konfiguriert, aber die polnischen bleiben trotzdem drin.

Und ist mir auch unklar ob es nur die error.log durchsucht? Irgendwie kommt mir das noch komisch vor...