«Хостер года» Нац.премия ЦОДы.рф
FirstVDS обладатель национальной премии ЦОДы.рф 2022 в номинации «Хостер года»
8 800 775 38 37 Бесплатно, круглосуточно
Корзина 0

Как самостоятельно подключить DDoS-защиту на 7 уровне

7 Июня 2021 3 мин

Теперь на сервере с защищённым каналом вы можете самостоятельно подключить защиту доменов от атак на 7-м уровне OSI.

Настройки сработают только при условии уже подключенного к серверу защищенного канала.

Защищайте любое количество доменов. Цена за услугу DDoS-защиты от этого не изменится.

1. Добавьте защищаемый домен

Перейдите в Личный кабинет, раздел Виртуальные серверы, выделите VDS и нажмите кнопку DDoS L7. Добавьте домен для защиты:

  • в строке Доменное имя укажите защищаемый домен
  • включите (по желанию) кэш, чтобы во время DDoS-атаки снизить нагрузку на сайт
  • укажите, нужна ли защита поддомена
  • IP-адрес вашего сервера, где размещён защищаемый домен, будет предложен автоматически

2. Добавьте сертификат

Если ваш домен имеет защищённое соединение, можете добавить к нему сертификат. Для этого выделите строку с защищаемым доменом и воспользуйтесь кнопкой Сертификат в верхнем меню панели.

Укажите тип сертификата:

  • Let's Encrypt — бесплатный SSL-сертификат, который будет настроен без вашего участия.
  • Платный SSL-сертификат — добавьте файлы и цепочку SSL, а также приватный ключ.

3. Настройте веб-сервер

На стороне веб-сервера apache и nginx необходимо внести дополнительные настройки для верного определения IP адреса посетителя.

Если вы используете веб-сервер nginx, необходимо чтобы он был скомпилирован с опцией --with-http_realip_module (по умолчанию поддержка уже есть во всех популярных дистрибутивах).

В секцию http в /etc/nginx/nginx.conf необходимо добавить опции конфигурации:

set_real_ip_from 186.2.160.0/24;
real_ip_header X-Real-IP;

Если используете веб-сервер Apache (и при этом не установлен nginx), то в нём должна быть включена поддержка модуля remote_ip (по умолчанию включена во всех популярных дистрибутивах). И в конфигурационный файл:

/etc/httpd/conf/httpd.conf в CentOS

/etc/apache2/apache2.conf в Debian / Ubuntu

Необходимо добавить опции конфигурации:

RemoteIPHeader X-Real-IP
RemoteIPInternalProxy 186.2.160.0/24

 

4. Настройте firewall

Шаг необязательный, но рекомендованный, так как благодаря настройке фаервол вы сможете повысить уровень защиты своего сервера, закрыв доступ к портам веб-сервера для всех IP-адресов, за исключением устройств сети DDoS-Guard.

После подключения защищенного ddos-канала к вашему серверу, добавьте правила в фаервол. Для этого открываем доступ к серверу по 80 и 443 портам только подсетям DDoS-Guard 186.2.160.0/24 и 77.220.207.192/27.

Правила для утилиты iptables:

iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 80 -j ACCEPT

iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 443 -j ACCEPT

iptables -I INPUT -s 77.220.207.224/27 -p tcp --dport 80 -j ACCEPT

iptables -I INPUT -s 77.220.207.224/27 -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

iptables -A INPUT -p tcp --dport 443 -j DROP

Отметим, что данные меры являются дополнительными и мы не можем гарантировать, что внесение данных правил не повлияет на работу проектов на сервере.

Если вы не знаете, как внести эти настройки самостоятельно — обратитесь в нашу поддержку.

Этот материал был полезен?

Теги

Другие статьи раздела