При заказе защиты одним из обязательных полей является upstream IP - публичный адрес вашего веб сервера, на который будет перенаправлен очищенный трафик.
Отфильтрованные запросы на стороне Cloud-Shield будут отправляться на указанный вами в настройках upstream IP строго с IP адресов из наших подсетей, перечисленных в списке https://cloud-shield.ru/ips. Любые обращения с других IP необходимо заблокировать на фаерволе (программно или аппаратно), не забыв добавить ваши личные IP адреса в список исключений. Такое ограничение позволяет гарантировать получение легитимных запросов и блокирует атакующим возможность пустить поток запросов напрямую к серверу в обход сети Cloud-Shield.
Iptables правила доступны по ссылке здесь. Набор адресов для ipset доступен по данный ссылке.
Если у вас на сервере панель управления ISPmanager, то вместо ручного добавления правил лучше воспользоваться нашей инструкцией для этой панели.
Если у вас виртуальный (shared) хостинг, то доступа к iptables там нет и следует ограничить доступ к сайту через nginx.
Скачайте файл по ссылке в директорию /etc/nginx/conf.d и перезапустите nginx.
Если доступа к nginx нет но есть apache, то через .htaccess правила
Если вы используете какие-либо плагины для вашей CMS, которые ограничивают доступ к сайту, то необходимо также добавить в список исключений наши сети.
Однако, данных правил на фаерволе не достаточно для обеспечения защиты. Без изменения публичного IP адреса Вашего веб сервера у атакующих остается возможность воспользоваться атаками, целью которых станут ограниченные ресурсы сервера, обслуживающего веб сервер. Переполнение очереди сетевых соединений, UDP флуд на забивание интернет канала и т.п. атаки без проблем смогут проходить на ваш сервер в обход нашей защиты в случае, если публичный IP адрес вашего веб сервера не будет изменен на новый и неизвестный ни кому, кроме вас и нас.