THE.Hosting - аренда серверов

Защита сайта: настройка файрвола

10.04.2025
20:26

Чтобы сайт не пытались атаковать по прямому IP, крайне рекомендуется настроить файрвол на сервере, ограничивающий доступ к 80/tcp и 443/tcp портам только для адресов серверов очистки трафика.

Вот сети, которые необходимо добавить в белый список файрвола:

77.220.207.0/24
45.10.240.0/24
45.10.241.0/24
45.10.242.0/24
186.2.160.0/24
186.2.164.0/24
186.2.167.0/24
186.2.168.0/24
185.178.209.197/32
190.115.30.44/32

Ниже приведены примеры настроек для популярных файрволов.

Обратите внимание, что это примерные команды, а не готовый набор настроек для вашего сервера — используйте их только убедившись, что они не нарушат работу проекта

Пример настроек iptables

iptables -I INPUT -s 77.220.207.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 77.220.207.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 45.10.240.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 45.10.240.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 45.10.241.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 45.10.241.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 45.10.242.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 45.10.242.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.160.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.164.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.164.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.167.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.167.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 186.2.168.0/24 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 186.2.168.0/24 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 185.178.209.197 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 185.178.209.197 -p tcp --dport 443 -j ACCEPT
iptables -I INPUT -s 190.115.30.44 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -s 190.115.30.44 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP

Пример настроек UFW

sudo ufw allow from 77.220.207.0/24 to any port 80 proto tcp
sudo ufw allow from 77.220.207.0/24 to any port 443 proto tcp
sudo ufw allow from 45.10.240.0/24 to any port 80 proto tcp
sudo ufw allow from 45.10.240.0/24 to any port 443 proto tcp
sudo ufw allow from 45.10.241.0/24 to any port 80 proto tcp
sudo ufw allow from 45.10.241.0/24 to any port 443 proto tcp
sudo ufw allow from 45.10.242.0/24 to any port 80 proto tcp
sudo ufw allow from 45.10.242.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.160.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.160.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.164.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.164.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.167.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.167.0/24 to any port 443 proto tcp
sudo ufw allow from 186.2.168.0/24 to any port 80 proto tcp
sudo ufw allow from 186.2.168.0/24 to any port 443 proto tcp
sudo ufw allow from 185.178.209.197 to any port 80 proto tcp
sudo ufw allow from 185.178.209.197 to any port 443 proto tcp
sudo ufw allow from 190.115.30.44 to any port 80 proto tcp
sudo ufw allow from 190.115.30.44 to any port 443 proto tcp
sudo ufw deny 80 proto tcp
sudo ufw deny 443 proto tcp

Пример настроек nftables

Эти правила будут работать до перезагрузки сервера.

nft add table ip ddg_filter 
nft add chain ip ddg_filter input '{ type filter hook input priority 0; policy accept; }'
nft add rule ip ddg_filter input ip saddr 77.220.207.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 45.10.240.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 45.10.241.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 45.10.242.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.160.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.164.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.167.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 186.2.168.0/24 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 185.178.209.197 tcp dport {80, 443} accept
nft add rule ip ddg_filter input ip saddr 190.115.30.44 tcp dport {80, 443} accept
nft add rule ip ddg_filter input tcp dport {80, 443} drop

Эти правила будут работать постоянно, если добавить их в файл /etc/nftables.conf:

table ip ddg_filter {
        chain input {
                type filter hook input priority filter; policy accept;
                ip saddr 77.220.207.0/24 tcp dport { 80, 443 } accept
                ip saddr 45.10.240.0/24 tcp dport { 80, 443 } accept
                ip saddr 45.10.241.0/24 tcp dport { 80, 443 } accept
                ip saddr 45.10.242.0/24 tcp dport { 80, 443 } accept
                ip saddr 186.2.160.0/24 tcp dport { 80, 443 } accept
                ip saddr 186.2.164.0/24 tcp dport { 80, 443 } accept
                ip saddr 186.2.167.0/24 tcp dport { 80, 443 } accept
                ip saddr 186.2.168.0/24 tcp dport { 80, 443 } accept
                ip saddr 185.178.209.197 tcp dport { 80, 443 } accept
                ip saddr 190.115.30.44 tcp dport { 80, 443 } accept
                tcp dport { 80, 443 } drop
        }
}

Пример настроек firewalld

firewall-cmd  --permanent --new-zone=ddg
firewall-cmd  --permanent --zone=ddg --add-port=80/tcp
firewall-cmd  --permanent --zone=ddg --add-port=443/tcp
firewall-cmd  --permanent --zone=ddg --add-source=186.2.160.0/24
firewall-cmd  --permanent --zone=ddg --add-source=77.220.207.0/24
firewall-cmd  --permanent --zone=ddg --add-source=45.10.240.0/24
firewall-cmd  --permanent --zone=ddg --add-source=45.10.241.0/24
firewall-cmd  --permanent --zone=ddg --add-source=186.2.167.0/24
firewall-cmd  --permanent --zone=ddg --add-source=186.2.168.0/24
firewall-cmd  --permanent --zone=ddg --add-source=45.10.242.0/24
firewall-cmd  --permanent --zone=ddg --add-source=186.2.164.0/24
firewall-cmd  --reload

Чтобы видеть реальные IP адреса посетителей сайта, советуем ознакомиться с нашей инструкцией "Защита сайта: расшифровка реальных IP".

Содержание:
Закажите новый VPS со скидкой 15%
Любая локация на выбор. Стабильный сервер для ваших проектов по выгодной цене.
Выбрать VPS

Другие статьи

10.04.2025
1 608
База знаний / Защита сайта
Защита сайта: настройки DNS
10.04.2025
958
База знаний / Защита сайта
Защита сайта: заказ услуги
10.04.2025
1 161
База знаний / Android
Установка Android Studio и создание проекта на Kotlin