Первоначальная настройка при reverse proxy защите

При заказе защиты одним из обязательных полей является upstream IP - публичный адрес вашего веб сервера, на который будет перенаправлен очищенный трафик.

Отфильтрованные запросы на стороне Cloud-Shield будут отправляться на указанный вами в настройках upstream IP строго с IP адресов из наших подсетей, перечисленных в списке https://cloud-shield.ru/ips. Любые обращения с других IP необходимо заблокировать на фаерволе (программно или аппаратно), не забыв добавить ваши личные IP адреса в список исключений. Такое ограничение позволяет гарантировать получение легитимных запросов и блокирует атакующим возможность пустить поток запросов напрямую к серверу в обход сети Cloud-Shield.

Пример iptables правил:

iptables -I INPUT 1 -s 185.143.174.152/29 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 2 -s 185.108.18.192/28 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 3 -s 51.89.32.16/30 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 4 -s 51.89.32.20/32 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 5 -s 135.125.128.224/28 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 6 -s 51.75.157.80/28 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 7 -s 185.143.174.152/29 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT 8 -s 185.108.18.192/28 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT 9 -s 51.89.32.16/30 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT 10 -s 51.89.32.20/32 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT 11 -s 135.125.128.224/28 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT 12 -s 51.75.157.80/28 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP
* Новичкам в iptables рекомендуем ознакомиться как минимум с этой статьей о настройке фаервола.

Если у вас на сервере панель управления ISPmanager, то вместо ручного добавления правил лучше воспользоваться нашей инструкцией для этой панели.

Если у вас виртуальный (shared) хостинг, то доступа к iptables там нет и следует ограничить доступ к сайту через nginx правила (в секцию server):

allow 185.143.174.152/29;
allow 185.108.18.192/28;
allow 51.89.32.16/30;
allow 51.89.32.20/32;
allow 135.125.128.224/28;
allow 51.75.157.80/28;
deny all;

или хотя бы на уровне apache через .htaccess правила:

Order Deny,Allow
Deny from all
Allow from 185.143.174.152/29
Allow from 185.108.18.192/28

Allow from 51.89.32.16/30
Allow from 51.89.32.20/32
Allow from 135.125.128.224/28

Allow from 51.75.157.80/28


Если вы используете какие-либо плагины для вашей CMS, которые ограничивают доступ к сайту, то необходимо также добавить в список исключений наши сети.


Однако, данных правил (приведены в качестве примера) на фаерволе не достаточно для обеспечения защиты. Без изменения публичного IP адреса Вашего веб сервера у атакующих остается возможность воспользоваться атаками, целью которых станут ограниченные ресурсы сервера, обслуживающего веб сервер. Переполнение очереди сетевых соединений, UDP флуд на забивание интернет канала и т.п. атаки без проблем смогут проходить на ваш сервер в обход нашей защиты в случае, если публичный IP адрес вашего веб сервера не будет изменен на новый и неизвестный ни кому, кроме вас и нас.

  • 3 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Web Application Firewall - Wallarm

На тарифах удаленной защиты PROXY для наших клиентов доступна опция подключения Web Application...

Как переехать с Cloudflare на Cloud-Shield

Для переключения с Cloudflare (CF) на защиту сайта от Cloud-Shield следует выполнить следующие...

Частые ошибки и вопросы при PROXY защите сайта

Ошибка SSL/TLS сертификата или ERR_CERT_AUTHORITY_INVALID Описание: После подключения прокси...

Настройка фаервола ISPmanager для защиты от атак

Данная статья описывает настройку ограничения доступа к HTTP(S) портам вашего сервера, используя...

Удаленный Firewall

Достаточно часто владелец сайта самостоятельно способен определить, является посетитель сайта...