Настройка защиты от DDoS от Reg.ru

Сам сайт находится на виртуальном хостинге от РуЦентра (nic.ru). Хотим поставить защиту от DDoS от Reg.ru - https://www.reg.ru/web-tools/ddosprotection/plans

Подключили тестовую услугу, получили письмо о том, что нужно сделать (оно ниже). Рассчмотрю предложения от тех, кто имеет опыт подобной настройки серверов.

________________________________________________

Для этого доменам maisondesfleurs.boutique вам необходимо настроить зону, создав следующие записи:

@ A 195.211.221.31

* A 195.211.221.31

После того как А-запись была переведена на выделенный для защиты

адрес, следует настроить сервер.

Все действия производимые в консоле в данном руководстве выполняются

с правами суперпользователя root если не сказано обратного.

1. Настройка веб серверов Apache, Nginx

Для нормального функционирования ресурса, Вас следует настроить

ваш web сервер для получения реального адреса клиента.

1.1 Настройка вебсервера nginx

В GNU Linux (Debian/Ubuntu) nginx уже собран с необходимым

модулем, остается его только активировать

в конфигурационном файле, для FreeBSD, если nginx собирался с

опциями по умолчанию

или же небыл выбран модуль ngx_http_realip_module, надо будет

пересобрать nginx.

Для этого нужно проделать следующие действия:

cd /usr/ports/www/nginx

make config

откроется окошко с опциями сборки nginx, в нем надо следующую

строчку привести к такому виду:

[X] HTTP_REALIP_MODULE Enable http_realip_module

после этого надо будет обновить nginx следующими командами:

make reinstall clean

Установка закончена.

Конфигурируется этот модуль как в GNU Linux так и в FreeBSD

одинаково,

нужно просто в конфигурационный файл добавить в секцию http

следующие строчки

set_real_ip_from 93.189.60.0/22;

real_ip_header X-Real-IP;

Конфигурационный файл обычно находится в стандартном для ОС

местоположении,

/usr/local /etc/nginx/nginx.conf в Freebsd и

/etc/nginx/nginx.conf в GNU Linux.

После редактирования надо будет перезапустить вебсервер

FreeBSD:

/usr/local/etc/rc.d/nginx restart

Debina GNU Linux:

/etc/init.d/nginx restart

Ubuntu Linux (10.04 и выше):

service nginx restart

На этом настройка вебсервера nginx закончена.

1.2 Настройка вебсервера Apache2.

Для вебсервера apache нужно установить отдельный модуль (если

он не установлен) mod_rpaf,

который не входит в состав самого вебсервера, если он уже

установлен на вашем сервере,

можно переходить к его настройке, если же неустановлен, то это

можно сделать следующим образом.

Debian GNU Linux/Ubuntu:

apt-get install libapache2-mod-rpaf

FreeBSD:

cd /usr/ports/www/mod_rpaf2

make install clean

на этом установка модуля закончена, переходим к его настройке.

Настройка в ОС FreeBSD и GNU Linux (Debina/Ubuntu) происходит

одинаково,

разница в путях к конфигурационным файлам обычно это

/usr/local/etc/apache2/httpd.conf во FreeBSD и /etc/apache2

/httpd.conf Для GNU Linux.

Настройка сводится к следующему:

Сначала нам необходимо проверить подключен ли сам модуль,

для этого находим в конфигурационном файле строчку

LoadModule rpaf_module libexec/apache22/mod_rpaf.so

и смотрим чтобы она небыла закомментирована, если перед ней

стоит знак комментария (#) то его надо удалить.

Далее необходимо настроить модуль, делается это добавлением

следующих строчек в любое место файла:

RPAFenable On

RPAFsethostname On

RPAFproxy_ips 81.91.183.2 81.91.183.3 81.91.183.4 81.91.183.5

81.91.183.6 81.91.183.7 81.91.183.8 81.91.183.9

81.91.183.18 81.91.183.19 81.91.183.20

81.91.183.21 81.91.183.22 81.91.183.23 81.91.183.24 81.91.183.25

81.91.183.50

93.189.63.242 93.189.63.243 93.189.63.244

93.189.63.245 93.189.63.246 93.189.63.247 93.189.63.248 93.189.63.249

93.189.62.242 93.189.62.243 93.189.62.244

93.189.62.245 93.189.62.246 93.189.62.247 93.189.62.248 93.189.62.249

93.189.61.242 93.189.61.243 93.189.61.244

93.189.61.245 93.189.61.246 93.189.61.247 93.189.61.248 93.189.61.249

RPAFheader X-Real-Ip

на этом настройка вебсервера закончена, остается его перезапустить

чтобы новые параметры вступили в силу, делается это следующими

командами

apachectl restart

На этом все, теперь адреса пользователей будут отображаться

правильно.

1.3 Настройка вебсервера Apache 2.4

Тут следует использовать mod_remoteip, который входит в

стандартный набор модулей. Пример настроек.

RemoteIPHeader X-Real-IP

RemoteIPInternalProxy 127.0.0.1 81.91.182.0/23 93.189.60.0/22

2. Настройка файрволов.

2.1 Настройка пакетного фильтра pf во FreeBSD

Для нормального функционирования ваших ресурсов,

следует ограничить доступ к 80 (и, если вебсервер настроен на

443 порт) проту фаерволом.

Для настройки фаервола pf следует в конфигурационный файл

/etc/pf.conf добавить следующие строки

block in quick pro to tcp from ! 93.189.60.0/22 to any port 80

block in quick pro to tcp from ! 93.189.60.0/22 to any port 443

если пакетный фильтр неиспользовался до этого, то его

необходимо включить

добавлением pf_enable=«YES» в файл /etc/rc.conf, и далее

следует перечитать настройки командой:

pfctl -f /etc/pf.conf

2.2 Настройка фаервола ipfw во FreeBSD

Для настройки фаервола ipfw, так же необходимо в его

конфигурационный файл

добавить следующие строки, желательно в его начало:

ipfw add deny ip from not 93.189.60.0/22 to me dst-port 80

ipfw add deny ip from not 93.189.60.0/22 to me dst-port 443

и перезапустить фаервол командой

/etc/rc.d/ipfw restart

2.3 Настройка iptables в GNU Linux (Debian/Ubuntu)

Для настройки iptables нужно в консоле дать следующие команды

iptables -A INPUT ! -s 93.189.60.0/22 -p tcp --dport 80 -j DROP

iptables -A INPUT ! -s 93.189.60.0/22 -p tcp --dport 443 -j DROP

На этом настройка iptables закончена.