Первоначальная настройка при reverse proxy защите

При заказе защиты одним из обязательных полей является upstream IP - публичный адрес Вашего веб сервера, на который будет перенаправлен очищенный трафик.

Отфильтрованные запросы на стороне Cloud-Shield будут отправляться на указанный Вами в настройках upstream IP строго с IP адресов из данной подсети 185.211.244.64/26. Любые обращения с других IP необходимо заблокировать на фаерволе (программно или аппаратно), незабыв добавить Ваши личные IP адреса в список исключений. Такое ограничение позволяет гарантировать получение легитимных запросов и блокирует атакующим возможность пустить поток запросов напрямую к серверу в обход сети Cloud-Shield.
Пример iptables правил:

iptables -I INPUT 1 -s 185.211.244.64/26 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 2 -s 185.211.244.64/26 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP
* Новичкам в iptables рекомендуем ознакомиться как минимум с этой статьей о настройке фаервола.

Если у вас на сервере панель управления ISPmanager, то вместо ручного добавления правил лучше воспользоваться нашей инструкцией для этой панели.

Если у вас виртуальный (shared) хостинг, то доступа к iptables там нет и следует ограничить доступ к сайту через nginx правила (в секцию server):

allow 185.211.244.64/26;
deny all;

или хотя бы на уровне apache через .htaccess правила:

Order Deny,Allow
Deny from all
Allow from 185.211.244.64/26


Если вы используете какие-либо плагины для вашей CMS, которые ограничивают доступ к сайту, то необходимо также добавить в список исключений нашу сеть.


Однако, данных правил (приведены в качестве примера) на фаерволе не достаточно для обеспечения защиты. Без изменения публичного IP адреса Вашего веб сервера у атакующих остается возможность воспользоваться атаками, целью которых станут ограниченные ресурсы сервера, обслуживающего веб сервер. Переполнение очереди сетевых соединений, UDP флуд на забивание интернет канала и т.п. атаки без проблем смогут проходить на Ваш сервер в обход нашей защиты в случае, если публичный IP адрес вашего веб сервера не будет изменен на новый и неизвестный ни кому, кроме Вас и нас.
  • 2 Пользователи нашли это полезным
Помог ли вам данный ответ?

Related Articles

Отображение реального IP посетителей сайта

При подключении любой proxy защиты со стороны вашего веб сервера будут отображаться IP адреса...

Бесплатная защита от парсинга сайта

Наши клиенты нашли интересное применение режиму защиты "I'm under attack" в положении JS проверки...

Удаленный Firewall

Достаточно часто владелец сайта самостоятельно способен определить, является посетитель сайта...

Как работает удаленная защита сайта

Подключить удаленную защиту сайта очень просто, вся процедура займет 10 минут.Владельцу сайта...

Настройка фаервола ISPmanager для защиты от атак

Данная статья описывает настройку ограничения доступа к HTTP(S) портам вашего сервера, используя...