从nginx / iptables中拒绝X-Forwarded-For IP

下面是以下内容

visitor --> Cloudflare proxy --> Front --> Back ^^^^^^ -->iptables(fail2ban)-->nginx--> 

我想要做的是通过401拒绝追踪bruteforcing IP，并禁止这个IP做任何后续的请求。

 FE BE | | .. | | | POST /oauth/token | |-------------------->| | 401 (access denied) | |<--------------------| .. | | | | 

• fail2ban不匹配xmlrpc
• fail2ban创build监狱失败
• 如何将fail2ban日志logging到外部syslog服务器？
• fail2ban正则expression式来捕捉dovecot日志条目？
• fail2ban设置为Apache

但是，FE上唯一的入站地址是cloudflare的IP，而不是访问者的IP。 因此，我不能通过iptable禁止传入的IP。

我只看到两种方式：

1. configurationnginx使用X-Forwarded-For（或通过cloudflare给出的CF-Connecting-IP addionnally），加上评估401响应加上limit_req（这是否可行？怎么办？
2. 而不是通过fail2ban监测检测到的bruteforcingIP，将其映射到禁止的ip（例如140.1.1.1或非洲的任何IP），并通过nginx上的Deny指令拒绝httpstream量。

其中一个可行的是？ 如果不是，可以select吗？