Как заблокировать user-agent через iptables ОС Debian 7?

Question

[Игорь Петров]

Собственно как заблокировать user-agent через IPtables?
идёт атака wordpress ботами, и в логи забиваются...
пробовал прописать это
iptables -I INPUT -p tcp -m string –algo kmp –string “WordPress” -j DROP
ничего не помогает, не блокирует он...

Answer 1

[Rsa97]

fail2ban

Answer 2

[Mark Doe]

Решение с помощью string очень сомнительное
Попробуйте писать их в отдельный лог, примерно вот так

# Apache config
RewriteCond %{HTTP_USER_AGENT}  ^WordPress/4\.0
RewriteRule - [L,R=403,E=WordPress]
LogFormat "%t\t%a\t%{remote}p\t%{User-Agent}i"
CustomLog wordpress wordpress.log env=WordPress

Потом раз в час скажем, доставать из этого лога все IP и банить их пачками по IP простейшим скриптом

Comments

[Игорь Петров]

Дело в том что их очень много, NGINX их не пускает, возвращает ботам 444 ошибку, но при этом процессор грузит на 100%, нужно заблокировать их на стороне фаервола, чтобы соединения не дошли до nginx

[Mark Doe]

Игорь Петров: проверка строк в iptables очень сомнительное решение - дорого по ресурсам шерстить каждый пакет.

[nirvimel]

NGINX создан как-раз создан для решения таких задач. Там внутри все уже максимально оптимизировано. Он не станет прожигать 100% CPU если существуют более экономичные подходы к решению.
Похоже, вы уже уперлись в потолок производительности вашего сервера, то есть в его предел прочности перед DDoS-ом.

[Игорь Петров]

Как тогда быть? fail2ban?

[Игорь Петров]

судя по логам, то прилетает примерно 100к ботов wordpress:( машина 12 ядер и все забиты :(

Answer 3

[Макс]

-algo bm?