Кстати так всегда обычно бывает, когда кто-то заинтересован в улучшении предоставлении услуг, а кто-то не особо, так как его это не касается или лицу кто должен согласовать договор не разъяснено что и для чего нужна получаемся услуга.
Ранее я для наших Web-сервисов в интернете проводил работы по переводу их в сервис защиты от DDoS. Даже на этот счет задокументировал весь процесс от и до. И действительно защита предоставляется. Сопоставление доменного имени айпи адресу из сети сервиса Stormwall, там весь трафик очищается и доходит до нас.
Но всегда есть, но, оказалось, что сервис достаточно дорог и отдавать более 300.000р в год на ни пойми, что, да еще с призрачной надеждой что наши Web-ресурсы возможно будут простаивать (не было прецедентов), увы.
Поэтому человек продвигающий данную защиту получил от ворот поворот, а потому мне нужно вывести наши сервиса из-под защиты, действия описаны ниже в заметке:
Шаг №1: Вспоминаю текущий IP адрес на хосте под Ubuntu 18.04 Server где у нас развернуты Web—сервисы:
ekzorchik@customizer:~$ ip r | awk '{print $9}' | tail -n 1
XXX.XXX.XXX.XXX
ekzorchik@customizer:~$
Шаг №2: Переключаюсь на регистратора имен, у нас это Nic.ru и изменяю Record A—записи с защищенного IP адреса выданного сервисом Stormwall.Pro на IP адрес текущего сервиса, как и было ранее.
Шаг №3: Отменяю настройки для Web—сервиса nginx на базе которого работают наши Web—сайты на этом хосте:
ekzorchik@customizer:~$ sudo nano /etc/nginx/nginx.conf
http {
…
# set_real_ip_from 185.121.240.0/22;
# set_real_ip_from 193.84.78.0/24;
# real_ip_header X-Forwarded-For;
…
}
после не забываем сохранить внесенные изменения и перезапустить nginx:
ekzorchik@customizer:~$ sudo systemctl restart nginx php7.3-fpm
Шаг №4: Отменяю внесенные правила для брандмауэра посредством которых я весь входящий трафик перенаправляю в сеть сервиса Stormwall.pro
ekzorchik@customizer:~$ sudo firewall-cmd --remove-rich-rule 'rule family="ipv4" port port="80" protocol="tcp" source address="185.121.240.0/22" log prefix='ddostest' accept' --permanent ekzorchik@customizer:~$ sudo firewall-cmd --remove-rich-rule 'rule family="ipv4" port port="80" protocol="tcp" source address="193.84.78.0/24" log prefix='ddostest' accept' --permanent ekzorchik@customizer:~$ sudo firewall-cmd --remove-rich-rule 'rule family="ipv4" port port="443" protocol="tcp" source address="185.121.240.0/22" log prefix='ddostest' accept' --permanent ekzorchik@customizer:~$ sudo firewall-cmd --remove-rich-rule 'rule family="ipv4" port port="443" protocol="tcp" source address="193.84.78.0/24" log prefix='ddostest' accept' --permanent ekzorchik@customizer:~$ sudo firewall-cmd --reload
Шаг №5: В личном кабинете сервиса Stormwall удаляю добавленные домены и записи о них.
Шаг №6: После наши Web—порталы начинают работать также, как и до внедрения сервиса по защите от DDoS—атак.
По итогу у меня есть практические заметки, как подключить и отключить. По правде сказать, если вдруг случится что корпоративные сайты будут DDoS-ить, у нас для руководства будет ответ, что бухгалтерия отказала в заключении договора с компанией, которая была в состоянии решить быть ли нам в защищенном режиме или иметь простои так как мы является крупнейшим игроком, которому могу хотеть вреда.
Итого на этом у меня все, с уважением автор блога Олло Александр aka ekzorchik.