В поиске был, и совершенно очевидно, что отбить атаку подходяющу под правило можно snort + flexresp, но как реализовать, то что мне нужно чето не вкурю :( Есть проблема, надо блокировать IP если с него слишком много запросов, например больше 100 в минуту (сервис не важен, может быть любой). Как IDS у меня стоит snort весьма приятная штука, но как ему описать такое правило не нашел... Подскажите плиз какой файрвол и/или IDS может работать с таким правилом? Система у меня linux шапка, файрвол локальный, т.е. защищает, то на чем стоит.