Як змусити Apache відповісти лише на Cloudflare?

Я впевнений, що ви всі знаєте, що таке Cloudflare (це дуже відомий CDN).

Що я хочу зробити, це змусити мій сервер Apache HTTP відповісти ТОЛЬКО на відповідь Cloudflare. Я хочу, щоб Apache ігнорував і закривав або не відповідав на будь-який вхідний сокет, який не відповідає списку IP-адрес. (на рівні Apache cor, перш ніж досягти PHP тощо)

Мені це потрібно для захисту мого веб-сайту від DoS / DDoS, якщо хтось отримав IP реального веб-сервера.

У мене є цей хлопець, який створює приблизно 1200 TCP-підключень до мого веб-сервера, і ці з'єднання нічого не надсилають, вони просто залишаються відкритими та живими, що змушує мого веб-сервера на деякий час знижуватися.

Я абсолютно новачок у конфігурації Apache тощо. Мені потрібні покрокові інструкції. Я використовую Windows Server 2008.

— Reacen
джерело

Це не запобіжить атакам DoS / DDoS.

— Рамхаунд

@Ramhound Це залежить від нападу. Якщо він затоплений SYN, то перехід до білого списку за допомогою брандмауера не дозволить йому потрапити під цю конкретну атаку (якщо він захищає всі відкриті порти). Ви маєте рацію, що це не зупинить усіх атак.

— Дарт Android

Може також поставити щось перед Apache (як NginX), щоб зупинити атаки Slowloris ?

— Ві.

Відповіді:

Ми (CloudFlare) щось поставили для цього в нашій базі знань вчора для Apache.

— damoncloudflare
джерело

Ви, хлопці, всюди! Дякую, але, використовуючи це, буде надруковано "Помилка забороненої сторінки", чи є в мене можливість змусити сокети не створюватися в Apache? (Щоб здалося, що у мого IP не існує жодного веб-сервера)

— Reacen

Це чудово, що є компанії, які підтримують таких своїх клієнтів :) @Reacen Щоб здавалося, що немає веб-сервера, вам потрібно скинути пакети з брандмауером, перш ніж вони дістаються до апаче. Єдиний спосіб, коли апаш може знати про блокування, - це спочатку відкрити сокет і побачити, хто там знаходиться, тоді як брандмауер може заглянути в пакети безпосередньо перед відкриттям сокета. Він не тільки виглядатиме як жоден веб-сервер на порту 80, але і весь комп'ютер буде непомітний на порту 80.

— Дарт Android

Дякуємо, що опублікували посилання, яке зараз мертве. Це дуже здорово, що CloudFlare не може заважати виконувати вказівки громади.

— Керін

Це посилання було розміщено понад рік тому. Минулого року наша система підтримки змінилася на нову систему управління контентом, і посилання змінилось. Це зовсім не порушення правил керівництва спільноти, оскільки посилання змінилася. Насправді ми не рекомендуємо обмежуватись лише нашими IP-адресами, якщо щось справді насправді не так. Це може спричинити проблеми для вашого веб-сайту, якщо ви призупинили нас, а це означає, що ми прямуємо до вашого сервера, тому він не прийме з'єднань, оскільки це не наш IP.

— damoncloudflare

"Тут немає тендеру!" Чи можете ви оновити посилання?

— guaka

Якщо ви хочете обмежити доступ до свого порту 80 певним списком IP-адрес, вам слід вивчити використання iptables (припускаючи Linux) або інше рішення брандмауера, щоб перенести всі вхідні з'єднання на порт 80, які не є IP-адресами у білому списку.

— Дарт Android
джерело

Це чудова ідея! Я сподіваюся, що брандмауер Windows може це дозволити, дуже дякую

— Reacen

-1

Це може допомогти вам:

DDOS - миттєвий захист з CloudFlare

— Говінд Карамта
джерело

Крім посилання, це слово в слово, ідентичне одній з відповідей трьох років тому. Будь ласка, не публікуйте відповіді, якщо у вас насправді є щось нове.

— G-Man