如果 IP 地址看起来是来自我们托管的网站的“屏幕抓取”内容,我希望以相对自动化的方式阻止这些 IP 地址。过去,这是通过一些巧妙的 perl 脚本和 OpenBSD 的 pf 实现的。pf 很棒,因为您可以为它提供漂亮的 IP 地址表,并且它将有效地处理基于它们的阻塞。然而,出于各种原因(在我之前),他们决定切换到 CentOS。iptables 本身并没有提供阻止大量地址的能力(我听说阻止 5000+ 并不罕见),而且我对将这么多规则添加到 iptable 中有点谨慎。
ipt_recent 这样做会很棒,而且它为严重减慢访问提供了很大的灵活性,但是 CentOS 内核中有一个错误阻止我使用它(已报告,但正在等待修复)。
使用 ipset 将需要编译比 CentOS 附带的更新版本的 iptables,虽然我完全有能力这样做,但从修补、安全性和一致性的角度来看,我宁愿不这样做。
除了这两个之外,看起来 nfblock 是一个合理的选择。有没有人知道实现这一目标的其他方法?我对 iptables 中的数千个 IP 地址的担忧是不是没有根据?