Как подключить DDoS-защиту на 7 уровне, если у вас уже есть защита на 2-4
Теперь на сервере с защищённым каналом вы можете самостоятельно подключить защиту доменов от атак на 7-м уровне OSI. Это бесплатно и несложно.
Вы можете защитить любое количество доменов. Цена за услугу DDoS-защиты от этого не изменится: 250 руб/мес за канал 1 Мбит/сек, превышение — 250 руб/мес за каждый 1 Мбит.
1. Перейдите в Личный кабинет, раздел Виртуальные серверы
, выделите VDS и нажмите кнопку DDoS L7
2. Добавьте домен для защиты (в верхнем меню).
- в строке
Доменное имя
укажите защищаемый домен; - включите (по желанию) кэш, чтобы во время DDoS-атаки снизить нагрузку на сайт;
- укажите, нужна ли защита поддомена;
- IP-адрес вашего сервера, где размещён защищаемый домен, будет предложен автоматически.
3. Если ваш домен имеет защищённое соединение, можете добавить к нему сертификат. Для этого выделите строку с защищаемым доменом и воспользуйтесь кнопкой Сертификат
в верхнем меню панели.
Укажите тип сертификата:
- Let's Encrypt — бесплатный SSl-сертификат, который будет настроен без вашего участия.
- Платный SSL-сертификат — добавьте файлы и цепочку SSL, а также приватный ключ.
4. На стороне веб-сервера apache и nginx необходимо внести дополнительные настройки для верного определения IP адреса посетителя.
Если вы используете веб-сервер nginx, необходимо чтобы он был скомпилирован с опцией --with-http_realip_module
(по умолчанию поддержка уже есть во всех популярных дистрибутивах).
В секцию http
в nginx.conf
необходимо добавить опции конфигурации:
set_real_ip_from 186.2.160.0/24; real_ip_header X-Real-IP;
Если используете веб-сервер Apache (и при этом не установлен nginx), то в нём должна быть включена поддержка модуля remote_ip
(по умолчанию включена во всех популярных дистриубутивах). И в конфигурационный файл
— /etc/httpd/conf/httpd.conf
в CentOS
—/etc/apache2/apache2.conf
в Debian / Ubuntu
необходимо добавить опции конфигурации:
RemoteIPHeader X-Real-IP RemoteIPInternalProxy 186.2.160.0/24
5. Чтобы повысить уровень защиты сервера, рекомендуем настроить фаерволл — он закроет доступ к портам веб-сервера для всех адресов, кроме защищённой сети.
После подключения DDoS-канала к серверу добавьте правила в фаервол. Для этого откройте доступ к серверу по 80 и 443 портам только подсетям DDoS-Guard 186.2.160.0/24 и 77.220.207.192/27.
Правила для утилиты iptables:
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 443 -j ACCEPT iptables -I INPUT -s 77.220.207.224/27 -p tcp --dport 80 -j ACCEPT iptables -I INPUT -s 77.220.207.224/27 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -p tcp --dport 443 -j DROP
Обратите внимание, что это необязательные дополнительные меры. Мы не можем гарантировать, что внесение данных правил не повлияет на работу ваших проектов.
Если вы не знаете, как внести эти настройки самостоятельно — обратитесь в нашу поддержку.