Tengo dos servidores web, con firewall, que usan NAT uno a uno para dos IP estáticas.
El otro día noté una desaceleración, así que seguí el registro del firewall para ver qué estaba pasando. Se mostró algún tipo de ataque en marcha; Varios miles de visitas en el puerto 80 a ambas máquinas en el transcurso de unos pocos minutos, todo desde la misma IP. Debido a que son servidores web, el puerto 80 está abierto. Pero lo extraño es que ninguno de los registros del servidor web muestra ninguna conexión desde esa IP. Al principio pensé que estaban bloqueados por regiones, porque tengo listas de ipdeny activas en esas máquinas para regiones como China y Corea del Norte. Pero la IP de origen no estaba en ese ipset, y se geolocaliza en California.
¿Esto es un DoS? ¿Por qué nginx no registraría los intentos? Finalmente, se detuvo por sí solo, antes de que tuviera la oportunidad de insertar una regla de firewall para esa IP de origen, pero no puedo entender qué estaba pasando.