Активация услуги

После подключения и оплаты услуги остается выполнить несколько шагов для завершения конфигурации.

Мы выделили для вас защищенный IP адрес. Теперь необходимо произвести смену А-записи Вашего домена в DNS на защищенный IP-адрес.

Также для корректной работы системы защиты необходимо добавить наши исходящие адреса в доверенные: снять все ограничения в Firewall и на уровне Web сервера.

Список наших отдающих сетей:

  • 185.121.240.0/22
  • 193.84.78.0/24
  • 103.134.155.0/24
  • 188.0.150.0/24
  • 193.104.120.0/24

Например, Вы можете использовать следующие команды:

iptables -I INPUT -s 185.121.240.0/22 -j ACCEPT

iptables -I INPUT -s 193.84.78.0/24 -j ACCEPT

iptables -I INPUT -s 103.134.155.0/24 -j ACCEPT

iptables -I INPUT -s 188.0.150.0/24 -j ACCEPT

 iptables -I INPUT -s 193.104.120.0/24 -j ACCEPT

Если атакующим известен прямой IP Вашего веб сервера, то мы рекомендуем закрыть подключения к портам 80 и 443 для всех сетей, кроме локальных подключений и подключений от наших отдающих сетей.

Например, Вы можете использовать следующие команды:

iptables -I INPUT -p tcp -m multiport —dports 80,443 -j DROP

iptables -I INPUT -i lo -j ACCEPT

iptables -I INPUT -s 185.121.240.0/22 -j ACCEPT

iptables -I INPUT -s 193.84.78.0/24 -j ACCEPT

iptables -I INPUT -s 103.134.155.0/24 -j ACCEPT

iptables -I INPUT -s 188.0.150.0/24 -j ACCEPT

 iptables -I INPUT -s 193.104.120.0/24 -j ACCEPT

iptables -I INPUT -s 127.0.0.1 -j ACCEPT

iptables -I INPUT -s IP.Вашего.Веб.Сервера -j ACCEPT

iptables -I INPUT -m conntrack —ctstate RELATED,ESTABLISHED -j ACCEPT

После этого необходимо перезапустить процесс вашего веб-сервера. Информация о реальных IP-адресах пользователей при подключении защиты передается в HTTP-заголовках X-Real-IP и X-Forwarded-For. Для отображения реальных IP-адресов необходимо настроить mod_rpaf для веб-сервера Apache, mod_remoteip для Apache > 2.3 или http_real_ip для Nginx, чтобы ваш Веб-сервер мог корректно обрабатывать эти заголовки.

Настройка Nginx

В конфигурационном файле /etc/nginx/nginx.conf в секции http или server добавьте строки:

set_real_ip_from 185.121.240.0/22;

set_real_ip_from 193.84.78.0/24;

set_real_ip_from 103.134.155.0/24;

set_real_ip_from 188.0.150.0/24;

set_real_ip_from 193.104.120.0/24;

real_ip_header X-Forwarded-For.

Сохраните файл конфигурации и перезапустите nginx командой:

service nginx restart

Настройка Apache (mod_rpaf)

В конфигурационном файле модуля прописываем:

RPAFenable On

RPAFsethostname On

RPAFproxy_ips 127.0.0.0 185.121.240.0/22 193.84.78.0/24 103.134.155.0/24 188.0.150.0/24 193.104.120.0/24

RPAFheader X-Forwarded-For

Настройка Apache (mod_remoteip)

В конфигурационном файле модуля прописываем:

RemoteIPHeader X-Forwarded-For

RemoteIPInternalProxy 127.0.0.1 185.121.240 185.121.241 185.121.242 185.121.243 103.134.155 188.0.150 193.84.78 193.104.120

Сохраните файл конфигурации и перезапустите Apache командой:

service apache2 restart

Для IIS Вам необходимо выполнить действия указанные в этой инструкции — https://techcommunity.microsoft.com/t5/iis-support-blog/how-to-use-x-forwarded-for-header-to-log-actual-client-ip/ba-p/873115

Вы можете выполнить эти настройки самостоятельно, или же дайте нам знать, если Вам нужна помощь.

Также мы бы хотели проинформировать о следующем:

  • Если на вашем сайте используется SSL (HTTPS), вы можете настроить его в деталях услуги в личном кабинете;
  • Если Вы используете websocket, то сообщите нам, какие порты необходимо открыть на нашей стороне;
  • Так же, при необходимости, вы можете воспользоваться нашими DNS серверами. Для этого, пожалуйста, уведомите нас об этом предварительно через тикет;
  • Обратите внимание: при использовании защиты сайта, прямой IP адрес сервера не должен быть разглашен. Отправка почты должна осуществляться через сторонний relay. Для защиты иных приложений необходимо использовать услугу защиты сервиса. Более подробную информацию по данному вопросу Вы можете получить по обращению в техническую поддержку;
  • Обратите внимание: На текущий момент система защиты активирована со значениями порогов срабатывания по умолчанию. Это может привести к блокировке легитимного трафика. Дайте нам знать, пожалуйста, ожидаемую нагрузку и мы откорректируем значения порогов.

IIS
Для IIS Вам необходимо выполнить действия, указанные в этой инструкции.

DNS серверы

Также, при необходимости, Вы можете воспользоваться нашими DNS серверами.
Адреса наших DNS серверов:
— dns1.storm-pro.net
— dns2.storm-pro.net
— dns3.storm-pro.net
— dns4.storm-pro.net

Если у вас возникли сложности при настройке, пожалуйста, обратитесь к нам через чат на сайте или форму обращения в личном кабинете.