На своих сайтах начал программно отслеживать спам-роботов и банить на месяц IPшки всех, кто неправильно ввёл капчу 20 раз подряд.

Хочу научиться банить по IP на низком уровне в NGINX. Кто знает, там есть что-то подобное Апачевскому .htaccess’у чтобы динамически вписывать правила allow/deny?

Как забанить IPшку?

iptables -A INPUT -s 37.113.9.218 -p tcp -j DROP

Как разбанить?

iptables -A INPUT -s 37.113.9.218 -p tcp -j DROP

Ещё можно добавлять порт, например так:

iptables -A INPUT -s 37.113.9.218 -p tcp --destination-port 80 -j DROP