tony2001
Конечно я сразуже нашёл этот пункт (во второйже главе когда рассматриваются подключающиеся модули - сразу же приведён пример для CONFIG_IP_NF_MATCH_LIMIT). Но прочитав его понял что для работы с Апачи он не годится. А всё из-за Keep-Alive.
Поскольку если человек рефрешит одну страницу - он не создаёт новых соединений , а работает через уже установленное и следовательно не будет фильтроваться через iptables
В случае если я отключу Keep-Alive - ситуация станет ещё трагичнее , поскольку заёдя на страницу ты качаешь не только неё , но и 20-40 картинок , за каждым из которых сервер будет тянуться отдельно устанавливая соединение. А значит при первом же посещении сайта пользователь создаст огромное количество запросов и будет заблокирован.
Может быть я шибаюсь , предпологая что при включенном Keep-Alive прользователь нажимая рефреш , выходит через уже установленное соединение (возможно что устанавливается новое). Тогда вроде как всё нормально , за исключением тех пользователей , у которых кип-алив не работает , так как те пользователи будут сразуже блокироваться limit'ом как только полезут за картинками для страницы.
Другими словами: я сделал вывод , что IPTables c ключом limit не может защитить Apache от рефрешей , ибо установив его я потеряю нормальных пользователей , которых он будет блокировать за то что они грузят картинки к странице index.htm
