mod_evasive + nginx
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
SMiX
- ефрейтор
- Сообщения: 54
- Зарегистрирован: 2008-04-26 0:50:14
mod_evasive + nginx
Установил mod_evasive, прекрасно работает, если обращаться к серверу, минуя nginx(81 порт, отключив файрволл). Через прокс же коннекты не режутся, что, наверное логично(mod_realip стоит, но, видимо, не влияет на evasive). Существует ли какая-нибудь альтернатива ему или решение этой проблемы?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
paix
- лейтенант
- Сообщения: 863
- Зарегистрирован: 2007-09-24 12:41:05
- Откуда: dn.ua
- Контактная информация:
Re: mod_evasive + nginx
mod_evasive - как мертвому припарки, проку от него мало.
Резать нужно на уровне фронтенда, чтобы на апач даже не попадали запросы.
Так называемы досы, от которого модевасиве должен оберегать - это просто хосты с агресивным поведением, или просто шлюзы.
Реальный дос положит апач тутже.
PS. у меня подобная конфигируация, сначала (давно) был апач потом появился нжинкс как прокси...но в логах до сих пор сообщения от мод_евасиве
и это обычный нат.
Резать нужно на уровне фронтенда, чтобы на апач даже не попадали запросы.
Так называемы досы, от которого модевасиве должен оберегать - это просто хосты с агресивным поведением, или просто шлюзы.
Реальный дос положит апач тутже.
PS. у меня подобная конфигируация, сначала (давно) был апач потом появился нжинкс как прокси...но в логах до сих пор сообщения от мод_евасиве
Код: Выделить всё
Apr 25 19:26:04 srv3 mod_dosevasive[61790]: Blacklisting address 93.80.127.213: possible DoS attack.
Apr 25 19:26:04 srv3 mod_dosevasive[64388]: Blacklisting address 93.80.127.213: possible DoS attack.
Apr 25 21:18:44 srv3 mod_dosevasive[72099]: Blacklisting address 91.123.156.192: possible DoS attack.
Apr 25 23:14:44 srv3 mod_dosevasive[81006]: Blacklisting address 193.19.84.16: possible DoS attack.
Последний раз редактировалось Alex Keda 2008-04-26 13:02:01, всего редактировалось 1 раз.
Причина: [code][/code] - для кого?
Причина: [code][/code] - для кого?
With best wishes, Sergej Kandyla
-
SMiX
- ефрейтор
- Сообщения: 54
- Зарегистрирован: 2008-04-26 0:50:14
Re: mod_evasive + nginx
У меня часто проц нагружают, дося с одного ip. Нагружают на 100%, апач не валится. Если идет распределенная атака/ ситуация та же. Апач за все время атак упал только 1 раз. Баню ипы по логам нжинкса, своим скриптом. Хотелось бы на уровне самого нжинкса ограничивать кол-во соединений на ip...
-
paix
- лейтенант
- Сообщения: 863
- Зарегистрирован: 2007-09-24 12:41:05
- Откуда: dn.ua
- Контактная информация:
Re: mod_evasive + nginx
http://sysoev.ru/nginx/docs/http/ngx_ht ... odule.htmlSMiX писал(а): Хотелось бы на уровне самого нжинкса ограничивать кол-во соединений на ip...
правильнее на уровне фаера
man ipfw /limit
man pf.conf / max-src-nodes
With best wishes, Sergej Kandyla
-
SMiX
- ефрейтор
- Сообщения: 54
- Зарегистрирован: 2008-04-26 0:50:14
Re: mod_evasive + nginx
Спасибо, интересное решение.Не подскажете, что я неправильно делаю?
Пытаюсь для теста ограничить кол-во соединений до 2. Но ничего не режется.
Код: Выделить всё
#ipfw list
00100 allow tcp from any to 11.11.11.11 dst-port 80 limit src-addr 2
00200 allow tcp from 11.11.11.11 to 11.11.11.11 dst-port 81
00300 deny tcp from any to 11.11.11.11 dst-port 81
00400 deny tcp from any to 11.11.11.11 dst-port 80
65535 allow ip from any to any
-
paix
- лейтенант
- Сообщения: 863
- Зарегистрирован: 2007-09-24 12:41:05
- Откуда: dn.ua
- Контактная информация:
Re: mod_evasive + nginx
#$fw add 1000 allow tcp from any to me 80 via $ext_if setup limit src-addr 25
#$fw add 1000 allow tcp from any to me 81 via $ext_if setup limit src-addr 55
#$fw add 1000 allow tcp from any to me 81 via $ext_if setup limit src-addr 55
With best wishes, Sergej Kandyla
-
SMiX
- ефрейтор
- Сообщения: 54
- Зарегистрирован: 2008-04-26 0:50:14
Re: mod_evasive + nginx
Код: Выделить всё
00100 allow tcp from 11.11.11.11 to 11.11.11.11 dst-port 81 #это правило для нжинкса
00200 deny tcp from any to 11.11.11.11 dst-port 81 #на 81 порт запрещено все, кроме самого ипа сервера
01000 allow tcp from any to me dst-port 80 via bge0 setup limit src-addr 2
01000 allow tcp from any to me dst-port 80 via bge1 setup limit src-addr 2
65535 allow ip from any to any
-
SMiX
- ефрейтор
- Сообщения: 54
- Зарегистрирован: 2008-04-26 0:50:14
Re: mod_evasive + nginx
Извините, все работает, спасибо. Не взял в рассчет, что браузер использует keep-alive соединения.