нужен bash-скрипт для массового бана IP по условию

интересный вариант. а 10к ip адресов потянет?

В случае с ipset чистка не обязательна, он не добавит уже существующий в цепочке ип заного.

foxi, Тянет и 50к, гораздо быстрее грузиться чем ipset или iptables

kxk, ну тогда расскажите, что там происходит с другими ресурсами ? Потому что в нормальной ситуации никому и в голову не придет так извращаться.

Сокеты расходуются ?

При определенных настройках наверное даже подключение в nginx создается зазря.

Не расходуются, это на том же уровне, где и файрвол.

Совершенно не очевидно. "Уровни" описанные в бесполезных книжках все равно соприкасаются и не изолированы друг от друга.

Это больше вопрос конкретной реализации, чем теории. Поэтому и спрашиваю.

Но вроде бы я поэкспериментировал и даже udp-трафик не доходит до программы. По крайней мере на современных ядрах.

netwind, Ну вот видите, дедовское решение, но рабочее же :)

ip route хорошая штука, сам ею давно пользуюсь. Работает и головняка куда меньше с настройкой.

Уважаемые коллеги, благодарю за интересную и познавательную дискуссию, я думаю она не только мне будет полезна, хотя случай в общем-то частный (школодос с левыми и легко распознаваемыми реферерами). Но что-то мне подсказывает, что ваши советы помогут не только мне :)

У меня конкретно дело решилось настройкой fail2ban, спасибо многоуважаемому Romka_Kharkov :) После обсуждения с ним мы решили, что это будет наиболее простое в сопровождении решение - мне остается обнаруживать новые "левые" рефереры и дописывать их в правило fail2ban. К тому же нет нужды держать в памяти кучу IP.

marazmus, судя по всему ребятам надоело тебя мучить )))) зашел посмотреть статистику, около 7 тысяч адрес было забанено, но состоянием на сейчас в бане - 0 , стало быть отпустило :D ?