Отключение доступа по http для сторонних доменов

1

1

Арендовал новый выделенный сервер для одного проекта. В логах вижу что со всех сторон туда долбятся по неизвестному мне доменному имени. Хотел бы эти запросы отбросить, поскольку лишняя нагрузка мне не нужна, там довольно много запросов и они проходят на nginx и Apache. Впервые столкнулся с такой задачей, потому вопрос:

Где это сделать лучше? В конфигурации nginx? Можно ли этот трафик отбросить еще на маршрутизаторе сервера? Или лучше попросить техподдержку ISP сделать это на их внешнем маршрутизаторе?

Система GNU/Linux 3.5.0-23-generic #35~precise1-Ubuntu x86_64 Web nginx/1.1.19 + Apache/2.2.22

Ссылка

←	Срез репозитория Arch

Домашний сервер на Debian, несколько вопросов

→

iptables

invokercd ★★★★
(18.09.13 05:09:44 MSK)

В nginx:

if ($host != 'твой.домен'){
  rewrite ^/(.*)$ http://porno.com/$1 permanent;
}

WhiteWolf ★
(18.09.13 05:54:27 MSK)
Последнее исправление: WhiteWolf 18.09.13 05:55:03 MSK (всего исправлений: 1)

Ответ на: комментарий от invokercd 18.09.13 05:09:44 MSK

А разве iptables может заглянуть на уровень http-протокола?

direqtor
(18.09.13 07:05:28 MSK) автор топика

Ответ на: комментарий от direqtor 18.09.13 07:05:28 MSK

через -m string вроде можно, но как-то выглядит это неудобно и ненадёжно

WhiteWolf ★
(18.09.13 07:10:27 MSK)

Сделать страничку для неизвестного домена, навешать рекламы и стричь купоны. Много народу ломится?
Еще можно попросить хостера сменить вам IP. Или попросить хозяина DNS сервера на котором резолвится «неизвестный домен» убрать запись.

naszar ★
(18.09.13 07:29:41 MSK)

Можно воспользоваться https://ru.cloudflare.com/, закрыв через iptables доступ всем кроме них... только себя не надо забывать...

naszar ★
(18.09.13 07:50:59 MSK)

Ответ на: комментарий от WhiteWolf 18.09.13 07:10:27 MSK

А если HTTPS, то и невозможно, видимо?

direqtor
(18.09.13 09:53:23 MSK) автор топика

Ссылка

Ответ на: комментарий от naszar 18.09.13 07:29:41 MSK

Это мысль. :)

direqtor
(18.09.13 09:54:07 MSK) автор топика

Ссылка

Ответ на: комментарий от direqtor 18.09.13 07:05:28 MSK

в задаче указан домен, а не протокол. Может заглядывать в заголовки.

invokercd ★★★★
(18.09.13 18:50:34 MSK)

Ссылка

Где это сделать лучше? В конфигурации nginx?

Естественно. Освой default_server у server_name.

RTFM:
http://nginx.org/ru/docs/http/server_names.html
http://nginx.org/ru/docs/http/request_processing.html

frozen_twilight ★★
(18.09.13 19:46:47 MSK)

Ссылка

Заведи на нжынксе дефолтный сервер с отдачей на все запросы 404, или 200 с пустым телом, чтобы на апач не проксировать, да и плюнь.

thesis ★★★★★
(18.09.13 19:50:23 MSK)

Ссылка

Ответ на: комментарий от WhiteWolf 18.09.13 05:54:27 MSK

Крайне неудачная идея по двум причинам:

1) владельцы домена, на который ты перенаправишь dos/ddos, тебе спасибо не скажут. Хорошо если обойдётся без заявления

2) в свете закона о блокировках я бы тоже так делать не стал.

router ★★★★★
(18.09.13 20:01:03 MSK)

Ссылка

А теперь внимание, правильный ответ для nginx:

Создать default site, в нём всем возвращать forbidden, до апача запросы не пройдут. Если это не серьёзная атака, а малолетние ксакепы, вполне хватит.

server {
        listen       80 default;
        server_name _default_;

        location / {
                return 403;
        }
}

То же самое для всех адресов, на которых висит ssl. Способ сделать сайт дефолтным зависит от версии nginx, читай документацию

router ★★★★★
(18.09.13 20:05:26 MSK)

Ответ на: комментарий от naszar 18.09.13 07:50:59 MSK

+1. Или highloadlab ( qrator )

router ★★★★★
(18.09.13 20:07:08 MSK)

Ссылка

Ответ на: комментарий от router 18.09.13 20:05:26 MSK

Спасибо, так и сделаю.

direqtor
(19.09.13 05:05:31 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Срез репозитория Arch

Admin

Домашний сервер на Debian, несколько вопросов

→

Похожие темы