XF 2.2 Не могу вспомнить модуль для блокировки по странам

[Adguest]

Добрый вечер, где-то видел, сейчас не могу найти. Подскажите модуль который блокирует по странам доступ к форуму

 

[Deku]

Разумнее это будет настроить через Cloudflare какой нибудь..

 

[Everlast]

Привет,

На уровне веб-сервера, GeoIP ну или на уровне CDN.

 

[Adguest]

Разумнее это будет настроить через Cloudflare какой нибудь..

Привет,

На уровне веб-сервера, GeoIP ну или на уровне CDN.

И там и там делал, была ddos, все равно пропускает хотя блокировал страны полностью

 

[Matew]

Adguest, ваша цель защита от ддоса? Если да, то попытка защиты на уровне приложения вам ничем не поможет
И если вы в CF заблокировали страну, а он все равно пропускает трафик - значит вы сделали что-то совсем не то, или кто-то стучится вам напрямую по айпи, в обход прокси CF

 

[Adguest]

А какие есть решения бюджетные хотя бы что бы не сильный ddos отражать ?

 

[Matew]

Не в свою степь лезть не буду. Может быть, DreamTails или CrazyHackGUT смогут подсказать что-то базовое простым языком

 

[Everlast]

А какие есть решения бюджетные хотя бы что бы не сильный ddos отражать ?

Тут все очень тонко, начиная от самого железа (В надежде что как минимум качественный VPS), который можно как минимум настроить на лучшую обработку большого потока трафика.
nginx + настройка протоколов соединения http2/3 + quic + настройка на ограничение запросов + модули защиты по типу fail2ban
Тут важно снизить нагрузку на процессор из-за объема обрабатываемого количества запросов, поэтому важно железо сервера + тонкая настройка.
Дальше идем на уровень CDN,вот не знаю как из России работает CloudFlare, но если в текущем случае работает, в нем нужно выдвигать правила при срабатывании подозрительного трафика, сколько не тестировал, срабатывает почти всегда спустя пару минут после начала атаки, но все же лучше за бесплатно чем ничего, поэтому тут важен опять правильный подход к выбору сервера, чтобы он быстрее одуплялся.

Чтобы отражал "не сильный ддос", понятие растяжимое, для этого проверять логи нужно, чтобы понять хотя бы, какое количество идет на сервер. Если есть возможность, перейти чисто на 443 ssl порт, не рассказывая злоумышленнику ;)
А так, вообще это тонкое дело и требует много бессонных ночей, так что в одном сообщении не рассказать всех вещей.

 

[Adguest]

Тут все очень тонко, начиная от самого железа (В надежде что как минимум качественный VPS), который можно как минимум настроить на лучшую обработку большого потока трафика.
nginx + настройка протоколов соединения http2/3 + quic + настройка на ограничение запросов + модули защиты по типу fail2ban
Тут важно снизить нагрузку на процессор из-за объема обрабатываемого количества запросов, поэтому важно железо сервера + тонкая настройка.
Дальше идем на уровень CDN,вот не знаю как из России работает CloudFlare, но если в текущем случае работает, в нем нужно выдвигать правила при срабатывании подозрительного трафика, сколько не тестировал, срабатывает почти всегда спустя пару минут после начала атаки, но все же лучше за бесплатно чем ничего, поэтому тут важен опять правильный подход к выбору сервера, чтобы он быстрее одуплялся.

Чтобы отражал "не сильный ддос", понятие растяжимое, для этого проверять логи нужно, чтобы понять хотя бы, какое количество идет на сервер. Если есть возможность, перейти чисто на 443 ssl порт, не рассказывая злоумышленнику ;)
А так, вообще это тонкое дело и требует много бессонных ночей, так что в одном сообщении не рассказать всех вещей.

Со вчерашнего дня, поставил блок на эти страны, сайт все равно ложиться на ошибку 502, connect() to unix:/var/www/php-fpm/1.sock failed



В панели isp тоже поставил блок по странам, ничего не помогает
Проц грузил вчера до 100%, поправили, но проблема осталась просто ложиться сайт и все тут

 

[Everlast]

Посмотреть вложение 156136

Со вчерашнего дня, поставил блок на эти страны, сайт все равно ложиться на ошибку 502, connect() to unix:/var/www/php-fpm/1.sock failed

Посмотреть вложение 156137

В панели isp тоже поставил блок по странам, ничего не помогает
Проц грузил вчера до 100%, поправили, но проблема осталась просто ложиться сайт и все тут

Значит разрешенные страны кладут сервер, тут важно делать аспект тогда на разрешенные страны, т.е. ограничивать запросы уже с них, по типу limit_conn и важно чтобы не было возможности подключаться лишь по http, только https, т е. 443 и уже отталкиваться от этого.
Отключить и забыть про 80 порт, те же бесплатные стрессеры работают на 80 порт без возможности выбора атак на другой, так что может поможет.
P.S. именно которые нацелены на L7

 

[Adguest]

TCP выбирать или UPD ?

Не помогло закрытие порта )

 

[Everlast]

Посмотреть вложение 156138

TCP выбирать или UPD ?

Я же не знаю всей Вашей настройки да и если это ISP, я не пользовался. Nginx (строго рекомендовано) настроить работу только по 443 порту, в данном случае https работает только по TCP, дальше уже зависит, по какому протоколу работает сайт?
http3 или quic? То тут уже работа идет по UDP

 

[Everlast]

У Вас что-то типа shared hosting?

 

[akok]

Со вчерашнего дня, поставил блок на эти страны, сайт все равно ложиться на ошибку 502, connect() to unix:/var/www/php-fpm/1.sock failed

а исключение поставили для известных ботов? Поисковики можете заблокировать.

 

[CrazyHackGUT]

Adguest, вы отслеживали, запросы из каких именно стран "кладут" форум на лопатки?
То что у вас есть статистика заблокированных - это, конечно, хорошо, но нужно ещё собирать стату "а кто, сцуко, портит жизнь".

По моему опыту, нельзя держать форум с панелькой управления сайтами, если пытаешься защищаться от атак. В какой-то момент начнёшь воевать с "генератором" конфига панели, чтобы он не затирал твои изменения.
Здесь я описывал свой опыт, который позволяет мне переживать ддосы вплоть до 30 тысяч RPS. Дальше серверу немного плохеет от количества трафика (к гигабиту приближается).