Как заставить Apache отвечать только на Cloudflare?

1790
Reacen

Я уверен, что вы все знаете, что такое Cloudflare (это очень известный CDN).

Я хочу, чтобы мой HTTP-сервер Apache отвечал ТОЛЬКО на Cloudflare. Я хочу, чтобы Apache игнорировал и закрывал или не отвечал на любой входящий сокет, который не соответствует списку IP-адресов. (на уровне Apache, до достижения PHP и т. д.)

Мне нужно это, чтобы защитить мой сайт от DoS / DDoS, если кто-то получил IP моего реального веб-сервера.

У меня есть этот парень, который создает около 1200 соединений TCP с моим веб-сервером, и эти соединения ничего не отправляют, они просто остаются открытыми и живыми, что отключает мой веб-сервер на некоторое время.

Я новичок в настройках Apache и т. Д. Мне нужны пошаговые инструкции. Я использую Windows Server 2008.

1
Это не предотвратит DoS / DDoS-атаки. Ramhound 11 лет назад 0
@Ramhound Это зависит от атаки. Если он залил SYN, то переключение на белый список с помощью брандмауэра * предотвратит попадание в него этой конкретной атаки (при условии, что он защищает все открытые порты). Вы правы в том, что это не остановит все атаки. Darth Android 11 лет назад 0
Может также поставить что-то перед Apache (например, NginX), чтобы остановить атаки [Slowloris] (http://ha.ckers.org/slowloris/)? Vi. 9 лет назад 0

3 ответа на вопрос

3
Darth Android

Если вы хотите ограничить доступ к вашему порту 80 определенным списком IP-адресов, вам следует использовать iptables (предположительно, linux) или другое решение брандмауэра для отбрасывания всех входящих подключений к порту 80, которые не относятся к IP-адресам в белом списке.

Это отличная идея! Я надеюсь, что брандмауэр Windows может это позволить, большое спасибо Reacen 11 лет назад 0
2
damoncloudflare

Мы (CloudFlare) внесли кое-что для этого в нашу базу знаний для Apache вчера.

Ух ты, ребята, везде! Спасибо, но с помощью этого будет напечатано «Ошибка запрещенной страницы», есть ли вероятность, что я могу заставить сокеты не создаваться в Apache? (Чтобы казалось, что на моем IP не размещен веб-сервер) Reacen 11 лет назад 0
Это здорово, что есть компании, которые поддерживают своих клиентов вот так :) @Reacen Чтобы создать впечатление, что веб-сервера нет, вы должны * отбросить пакеты с помощью брандмауэра, прежде чем они перейдут в Apache. Единственный способ, которым apache может узнать о блокировке, - это сначала открыть сокет и посмотреть, кто там, в то время как брандмауэр может просматривать пакеты непосредственно перед открытием сокета. Он не только не будет выглядеть как веб-сервер на порту 80, но и весь компьютер будет невидимым на порту 80. Darth Android 11 лет назад 0
Спасибо за размещение ссылки, которая сейчас не работает. Это действительно круто, что CloudFlare нельзя беспокоиться о соблюдении правил сообщества. Kerin 10 лет назад 0
Эта ссылка была опубликована более года назад. Наша система поддержки изменилась в прошлом году на новую систему управления контентом, и ссылка изменилась. Это не является нарушением правил сообщества, потому что ссылка изменилась. На самом деле мы не рекомендуем ограничиваться только нашими IP-адресами, если что-то действительно не так. Это может вызвать проблемы для вашего сайта, если вы остановите нас, что означает, что мы направляемся прямо к вашему серверу, поэтому он не будет принимать соединения, потому что это не наш IP. damoncloudflare 10 лет назад 0
"Тендера здесь нет!" Вы можете обновить ссылку? guaka 9 лет назад 1
-1
Govind Karamta

Это может помочь вам:

Если вы хотите ограничить доступ к вашему порту 80 определенным списком IP-адресов, вам следует использовать iptables (предположительно, linux) или другое решение брандмауэра для отбрасывания всех входящих подключений к порту 80, которые не относятся к IP-адресам в белом списке.

DDOS - Мгновенная защита с CloudFlare

Помимо ссылки, это слово в слово ***, идентичное одному из ответов трехлетней давности. Пожалуйста, не публикуйте ответ, если у вас нет чего-то нового. G-Man 8 лет назад 0

Похожие вопросы