Партнерам
Способы оплаты
Связаться
-
Россия8 (800) 707-83-77 -
Великобритания+44 (20) 4577-20-00 -
США+1 (929) 431-18-18 -
Израиль+972 (55) 507-70-81 -
Бразилия+55 (61) 3772-18-88 -
Канада+1 (416) 850-13-33 -
Чехия+420 (736) 353-668 -
Эстония+372 (53) 683-380 -
Греция+30 (800) 000-02-04 -
Ирландия+353 (1) 699-43-88 -
Исландия+354 (53) 952-99 -
Литва+370 (700) 660-08 -
Нидерланды+31 (970) 1027-77-87 -
Португалия+351 (800) 180-09-04 -
Румыния+40 (376) 300-641 -
Швеция+46 (79) 008-11-99 -
Словакия+421 (2) 333-004-23 -
Швейцария+41 (22) 508-77-76 -
Молдова+373 (699) 33-1-22
Русский
Защита сайта: настройка файрвола
- Главная
- База знаний
- Защита сайта: настройка файрвола
10.04.2025, 20:26
Чтобы сайт не пытались атаковать по прямому IP, крайне рекомендуется настроить файрвол на сервере, ограничивающий доступ к 80/tcp и 443/tcp портам только для адресов серверов очистки трафика.
Вот сети, которые необходимо добавить в белый список файрвола:
77.220.207.0/24
45.10.240.0/24
45.10.241.0/24
45.10.242.0/24
186.2.160.0/24
186.2.164.0/24
186.2.167.0/24
186.2.168.0/24
185.178.209.197/32
190.115.30.44/32Ниже приведены примеры настроек для популярных файрволов.
Обратите внимание, что это примерные команды, а не готовый набор настроек для вашего сервера — используйте их только убедившись, что они не нарушат работу проекта
Пример настроек iptables
iptables -I INPUT -s 77.220.207.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 77.220.207.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 45.10.240.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 45.10.240.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 45.10.241.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 45.10.241.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 45.10.242.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 45.10.242.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.164.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.164.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.167.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.167.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.168.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.168.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 185.178.209.197 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 185.178.209.197 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 190.115.30.44 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 190.115.30.44 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROPПример настроек UFW
sudo ufw allow from 77.220.207.0/24 to any port 80 proto tcp
sudo ufw allow from 77.220.207.0/24 to any port 443 proto tcp
sudo ufw allow from 45.10.240.0/24 to any port 80 proto tcp
sudo ufw allow from 45.10.240.0/24 to any port 443 proto tcp
sudo ufw allow from 45.10.241.0/24 to any port 80 proto tcp
sudo ufw allow from 45.10.241.0/24 to any port 443 proto tcp
sudo ufw allow from 45.10.242.0/24 to any port 80 proto tcp
sudo ufw allow from 45.10.242.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.160.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.160.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.164.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.164.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.167.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.167.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.168.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.168.0/24 to any port 443 proto tcp
sudo ufw allow from 185.178.209.197 to any port 80 proto tcp
sudo ufw allow from 185.178.209.197 to any port 443 proto tcp
sudo ufw allow from 190.115.30.44 to any port 80 proto tcp
sudo ufw allow from 190.115.30.44 to any port 443 proto tcp
sudo ufw deny 80 proto tcp
sudo ufw deny 443 proto tcpПример настроек nftables
Эти правила будут работать до перезагрузки сервера.
nft add table ip ddg_filter
nft add chain ip ddg_filter input '{ type filter hook input priority 0; policy accept; }'
nft add rule ip ddg_filter input ip saddr 77.220.207.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 45.10.240.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 45.10.241.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 45.10.242.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.160.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.164.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.167.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.168.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 185.178.209.197 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 190.115.30.44 tcp dport {80, 443} accept
nft add rule ip ddg_filter input tcp dport {80, 443} dropЭти правила будут работать постоянно, если добавить их в файл /etc/nftables.conf:
table ip ddg_filter {
chain input {
type filter hook input priority filter; policy accept;
ip saddr 77.220.207.0/24 tcp dport { 80, 443 } accept
ip saddr 45.10.240.0/24 tcp dport { 80, 443 } accept
ip saddr 45.10.241.0/24 tcp dport { 80, 443 } accept
ip saddr 45.10.242.0/24 tcp dport { 80, 443 } accept
ip saddr 186.2.160.0/24 tcp dport { 80, 443 } accept
ip saddr 186.2.164.0/24 tcp dport { 80, 443 } accept
ip saddr 186.2.167.0/24 tcp dport { 80, 443 } accept
ip saddr 186.2.168.0/24 tcp dport { 80, 443 } accept
ip saddr 185.178.209.197 tcp dport { 80, 443 } accept
ip saddr 190.115.30.44 tcp dport { 80, 443 } accept
tcp dport { 80, 443 } drop
}
}Пример настроек firewalld
firewall-cmd --permanent --new-zone=ddg
firewall-cmd --permanent --zone=ddg --add-port=80/tcp
firewall-cmd --permanent --zone=ddg --add-port=443/tcp
firewall-cmd --permanent --zone=ddg --add-source=186.2.160.0/24
firewall-cmd --permanent --zone=ddg --add-source=77.220.207.0/24
firewall-cmd --permanent --zone=ddg --add-source=45.10.240.0/24
firewall-cmd --permanent --zone=ddg --add-source=45.10.241.0/24
firewall-cmd --permanent --zone=ddg --add-source=186.2.167.0/24
firewall-cmd --permanent --zone=ddg --add-source=186.2.168.0/24
firewall-cmd --permanent --zone=ddg --add-source=45.10.242.0/24
firewall-cmd --permanent --zone=ddg --add-source=186.2.164.0/24
firewall-cmd --reloadЧтобы видеть реальные IP адреса посетителей сайта, советуем ознакомиться с нашей инструкцией "Защита сайта: расшифровка реальных IP".
Другие статьи раздела
