Первоначальная настройка при reverse proxy защите

При заказе защиты одним из обязательных полей является upstream IP - публичный адрес Вашего веб сервера, на который будет перенаправлен очищенный трафик.

Отфильтрованные запросы на стороне Cloud-Shield будут отправляться на указанный Вами в настройках upstream IP строго с IP адресов из данной подсети 185.211.244.64/26. Любые обращения с других IP необходимо заблокировать на фаерволе (программно или аппаратно), незабыв добавить Ваши личные IP адреса в список исключений. Такое ограничение позволяет гарантировать получение легитимных запросов и блокирует атакующим возможность пустить поток запросов напрямую к серверу в обход сети Cloud-Shield.
Пример iptables правил:

iptables -I INPUT 1 -s 185.211.244.64/26 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 2 -s 185.211.244.64/26 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP
* Новичкам в iptables рекомендуем ознакомиться как минимум с этой статьей о настройке фаервола.

Если у вас на сервере панель управления ISPmanager, то вместо ручного добавления правил лучше воспользоваться нашей инструкцией для этой панели.

Если вы используете какие-либо плагины для вашей CMS, которые ограничивают доступ к сайту, то необходимо также добавить в список исключений нашу сеть.


Однако, данных правил (приведены в качестве примера) на фаерволе не достаточно для обеспечения защиты. Без изменения публичного IP адреса Вашего веб сервера у атакующих остается возможность воспользоваться атаками, целью которых станут ограниченные ресурсы сервера, обслуживающего веб сервер. Переполнение очереди сетевых соединений, UDP флуд на забивание интернет канала и т.п. атаки без проблем смогут проходить на Ваш сервер в обход нашей защиты в случае, если публичный IP адрес вашего веб сервера не будет изменен на новый и неизвестный ни кому, кроме Вас и нас.
  • 2 Пользователи нашли это полезным
Помог ли вам данный ответ?

Related Articles

Бесплатная защита от парсинга сайта

Наши клиенты нашли интересное применение режиму защиты "I'm under attack" в положении JS проверки...

Настройка фаервола ISPmanager для защиты от атак

Данная статья описывает настройку ограничения доступа к HTTP(S) портам вашего сервера, используя...

Web Application Firewall - Wallarm

На тарифах удаленной защиты PROXY для наших клиентов доступна опция подключения Web Application...

Как работает удаленная защита сайта

Подключить удаленную защиту сайта очень просто, вся процедура займет 10 минут.Владельцу сайта...

Отображение реального IP посетителей сайта

При подключении любой proxy защиты со стороны вашего веб сервера будут отображаться IP адреса...