Первоначальная настройка при reverse proxy защите

При заказе защиты одним из обязательных полей является upstream IP - публичный адрес Вашего веб сервера, на который будет перенаправлен очищенный трафик.

Отфильтрованные запросы на стороне Cloud-Shield будут отправляться на указанный Вами в настройках upstream IP строго с IP адресов из данной подсети 185.211.244.64/25. Любые обращения с других IP необходимо заблокировать на фаерволе (программно или аппаратно), незабыв добавить Ваши личные IP адреса в список исключений. Такое ограничение позволяет гарантировать получение легитимных запросов и блокирует атакующим возможность пустить поток запросов напрямую к серверу в обход сети Cloud-Shield.
Пример iptables правил:

iptables -A INPUT -s 185.211.244.64/25 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 185.211.244.64/25 -p tcp --dport https -j ACCEPT
iptables -A INPUT -p tcp --dport http -j DROP
iptables -A INPUT -p tcp --dport https -j DROP
* Новичкам в iptables рекомендуем ознакомиться как минимум с этой статьей о настройке фаервола.


Однако, данных правил (приведены в качестве примера) на фаерволе не достаточно для обеспечения защиты. Без изменения публичного IP адреса Вашего веб сервера у атакующих остается возможность воспользоваться атаками, целью которых станут ограниченные ресурсы сервера, обслуживающего веб сервер. Переполнение очереди сетевых соединений, UDP флуд на забивание интернет канала и т.п. атаки без проблем смогут проходить на Ваш сервер в обход нашей защиты в случае, если публичный IP адрес вашего веб сервера не будет изменен на новый и неизвестный ни кому, кроме Вас и нас.
  • 0 Пользователи нашли это полезным
Помог ли вам данный ответ?

Related Articles

Отображение реального IP посетителей сайта

=-= Nginx =-= * Простые способы: При использовании nginx как прокси для apache, настройки...