وقف هجمات الحرمان للمواقع

اضغط هنا لمعاينة كودي شات( Enter Codychat )

admin

Administrator
طاقم الإدارة
تكوين جدار الحماية: تقييد الوصول إلى الخادم المحمي
عند استخدام الحماية المستندة إلى الوكيل (مجالات Qrator الافتراضية بدون أي تقنيات ومجالات HTTPS مع "تصفية HTTPS مع فك التشفير") يقوم Qrator بإعادة توجيه طلبات المستخدم إلى الخوادم الخاصة بك باستخدام عناوين IP هذه كمصدر:
  • 66.110.32.128/30
  • 83.234.15.112/30
  • 87.245.197.192/30
  • 185.94.108.0/24
لمنع الهجمات على الخادم الخاص بك التي تستهدف عنوان IP الخاص به (بدلاً من اسم المجال الخاص به) ، تحتاج إلى إعداد جدار الحماية لرفض وصول HTTP / HTTPS المباشر إلى أي شخص باستثناء قائمة عناوين المصدر المذكورة أعلاه. يمكن توسيع هذه القائمة باستخدام عناوينك الموثوقة (مثل شبكات المكاتب ومحطات عمل المطورين والأدوات الآلية). سيؤدي ذلك إلى إبطال احتمالية الحظر الإيجابي الكاذب لموظفي شركتك.
دليل تكوين Linux Netfilter (الحماية المستندة إلى الوكيل)

تحذير: من
المستحيل عمليًا إنشاء طريقة "مقاس واحد يناسب الجميع" لجدار الحماية نظرًا لوجود الآلاف من الطرق الممكنة لتكوين جدار حماية النظام (بما في ذلك جميع امتدادات iptables وحتى تطبيقات Netfilter الخاصة بمساحة المستخدمين الآخرين) وفي معظم الأوقات جدار الحماية تم تكوينه بالفعل بطريقة ما. يرجى تذكر أن النصوص الواردة أدناه هي مجرد أمثلة ولا يمكن تطبيقها على نظامك "كما هو" إلا إذا كنت متأكدًا من أنه لن يكسر جدار الحماية الخاص بك (أي عندما يكون التكوين فارغًا).
لمنع احتمال حدوث هجمات DDoS على عنوان IP المباشر للخادم المحمي ، يجب عليك إسقاط جميع الاتصالات الواردة إلى منافذ HTTP / HTTPS (TCP / 80 و TCP / 443) لجميع عناوين IP البعيدة باستثناء بعض العناوين الموثوقة. يجب أن تتضمن هذه القائمة جميع عناوين IP الخاصة بمصدر شبكة Qrator ويمكن توسيعها باستخدام عناوين موثوقة خاصة بك ، مثل محطات عمل الشركة.
اعتمادًا على نظامك ، يمكنك إما استخدام قواعد iptables "العادية" ، أو دمجها مع قواعد iptables التي تدعم وحدات Conntrack و ipset الخاصة بـ Netfilter. نوصي باستخدام كل من conntrack و ipset ، لأنه يجعل قواعد iptables أصغر (مما يجعل صيانتها أسهل) وأسرع (القواعد الأقل تعني طلبات أقل على الحزمة الواردة).
مثال على تكوين iptables البسيط
#!/bin/sh

ADMIN_IPS="127.0.0.1" # Add your trusted IPs/subnets (staff, admins, tools and etc.) here

QRATOR_NODES="66.110.32.128/30
83.234.15.112/30
87.245.197.192/30
185.94.108.0/24
"

iptables -N qrator_ips
for IP in $ADMIN_IPS $QRATOR_NODES; do
iptables -A qrator_ips -s $IP -j RETURN
done
iptables -A qrator_ips -j DROP

iptables -A INPUT -p tcp -m multiport --dports 80,443 -j qrator_ips

Iptables مع دعم conntrack و ipset
#!/usr/bin/env bash

ADMIN_IPS="127.0.0.1" # Add your trusted IPs/subnets (staff, admins, tools and etc.) here

QRATOR_NODES="66.110.32.128/30
83.234.15.112/30
87.245.197.192/30
185.94.108.0/24
"

# Creating the trusted IP set:
ipset -N trusted_nodes hash:net
for ip in $ADMIN_IPS $QRATOR_NODES; do
ipset -A trusted_nodes ${IP}
done

# Creating the iptables rules:
iptables -N qrator
iptables -A qrator -m set --match-set trusted_ips src -j ACCEPT
iptables -A qrator -j DROP

iptables -I INPUT --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 --state NEW -j qrator
 
أعلى