Какой-либо непользовательский способ управлять iptables с fail2ban и libvirt+kvm?
Существует много примеры HTTP проксирование реверса в больших веб-сайтах, таким образом, я сказал бы, что он не имеет никаких проблем с точки зрения производительности, масштабирования или простоты администрирования.
При добавлении nginx или эквивалентный, чтобы сделать выравнивание нагрузки перед текущими серверами не изменится очень, и Вы сможете постепенно заменить apache+mod_whatever, когда это не будет больше увеличивать стоимость.
Это действительно старо, но для людей, которые ищут и находят, что это, fail2ban и как много других утилит очень настраивается. Можно изменить fail2ban файлы действия как iptables-multiport.conf, чтобы назвать iptables и создать цепочки в способе, которым Вы хотите его.
например.
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
Это создает вкус правила, ударяются Ваша ВХОДНАЯ цепочка, которая довольно ужасна и неуправляема, но можно довольно легко поместить ее в одну из собственных цепочек в управлении. Можно создать ВХОДНОЙ фильтр, который затем имеет цепочки к другим фильтрам для fail2ban для хранения всего, что это - материал из ВХОДНОЙ цепочки как ниже.
actionstart = iptables -N fail2ban-<name>
iptables -A fail2ban-<name> -j RETURN
iptables -I INPUT-FAIL2BAN -p <protocol> -m multiport --dports <port> -j fail2ban-<name>
То же идет для libvirt или Xen, где существуют сценарии, которые называют, чтобы сделать работу. Xen, например, использует/etc/xen/scripts, который Вы найдете сетевым мостом и другими, где iptables называют. Разработайте его как Вас want.and худший случай, измените код. Я для одного использования fail2ban для изменения центрального брандмауэра так все серверы защищен, что означает, что iptables на локальной машине не показывает правила так или иначе.