Документация ispmanager 6 lite, pro, host

Настройка DDoS-Guard

Включение/отключение от защиты DDoS-Guard

Включение защиты DDoS-Guard — защита от DDoS-атак через фильтрацию вредоносного трафика для стабильной работы ресурса;

Отключение защиты DDoS-Guard — трафик поступает напрямую на сервер без фильтрации, увеличивая риски DDoS-атак.

При включении/отключении защиты изменяются A-записи доменных имен.

Обратите внимание!
Возможность функционирует при условии наличия активного сервиса доменных имен (DNS).

 

Включение защиты

Выполните следующие действия.

  • перейдите в основное меню;
  • перейдите в раздел Модули;
  • спуститесь до Ddos-Guard;
  • нажмите на кнопку ;
  • выберите домен;
  • нажмите на кнопку для активации защиты DDoS-Guard. 
Обратите внимание!
В результате включения A-записи доменного имени будут автоматически изменены на IP-адреса, предоставленные DDoS-Guard.

 

Отключение защиты

Выполните следующие действия.

  • перейдите в основное меню;
  • перейдите в раздел Модули;
  • спуститесь до DDoS-Guard;
  • нажмите на кнопку ;
  • выберите домен;
  • нажмите на кнопку для деактивации защиты DDoS-Guard.
Обратите внимание!
В результате отключения A-записи доменного имени будут возвращены к исходным значениям.

Настройки

На форму настроек можно перейти нажатием на кнопку Настройки.

 

На этой форме доступны следующие настройки:

  • Подключить защиту автоматически;
  • Запретить подключение к веб-серверу.

 

Подключить защиту автоматически

При выборе автоматической защиты следующие настройки применяются автоматически:

Создание настроек для Nginx и Apache

  • для Apache

Создается файл ddosguard_remoteip.conf в директории, сконфигурированной для файлов включений, например /etc/apache2/conf.d, со следующим содержанием:

RemoteIPHeader X-Real-IP

RemoteIPInternalProxy 127.0.0.1 186.2.160.0/24

Создается файл ddosguard_rpaf.conf в той же директории со следующим содержанием.

RPAFenable On

RPAFsethostname On

RPAFprotected_ips 186.2.160.0/24

RPAFheader X-Real-Ip
  • Для Nginx

Создается файл ddosguard_remote.conf в директории, сконфигурированной для файлов включений, например /etc/nginx/vhosts-includes, со следующим содержанием.

set_real_ip_from 186.2.160.0/24;

 

Запретить подключение к веб-северу

Включение или отключение запрещающих правил брандмауэра для портов 80 и 443.

  • доступ к сайтам разрешен только для серверов DDoS-Guard;
  • блокировка подключений. Все остальные подключения по этим портам будут заблокированы;
  • недоступность без защиты. Домены без защиты DDoS-Guard недоступны из интернета.

 

Дополнительные автоматические настройки

Изменение A-записей — при подключенном сервере имен происходит автоматическое изменение A-записей для корректной работы защиты.

Настройка правил блокировки

Список черных/белых правил для управления сервисом DDoS-Guard позволяет блокировать/разрешать доступ с определенных IP-адресов или подсетей.

Обратите внимание!
DDoS-Guard позволяет создать не более 10 правил доступа.

Список доступа содержит колонки:

  • IP-адреса — IP-адрес или подсеть;
  • Дата добавления — Дата и время создания/изменения адреса;
  • Тип правила — Тип правила — блокировать или разрешать;
  • Причины — Любой текст для пояснения не более 255 символов, может быть пустым.

Создание правила

Для создания правила необходимо нажать на кнопку Добавить. На открывшейся странице можно выбрать тип правила и написать пояснение к правилу. IP-адреса или подсеть вводят через запятую, при этом маска подсети не должна быть меньше 24. Примеры верного ввода адреса или подсети:

  • 8.8.8.8;
  • 8.8.8.8/32;
  • 4.4.4.4/24;
  • 10.0.0.1, 20.20.20.20/32, 3.30.30.30/24.

Изменение правила

Для изменения правила необходимо нажать на кнопку Изменить. При изменении правила возможно поменять тип и причину добавления, само правило (IP/подсеть) недоступно для редактирования.

Удаление правила

Для удаления правила необходимо нажать на кнопку Удалить.