Спасибо за видео и ваши труды! Есть пожелание... Снимайте больше видео для нубов и чайников. Вот например мне интересна вся эта тематика со стороны пользователя. Я бы хотел понимать для чего мне все эти инструменты, какие из них лучше и почему. Так же хотелось бы понимать как проверить результат работы специалиста, различные инструменты и метрики. На просторах ютуба на эту тематику вообще нет видео.
@@NickLavlinsky у меня свой сайт. Лично мне интересно узнавать какие сервера лучше, какие панели управления, как защитить свой сайт, что хорошего в CDN, что такое Apache и Nginx (но на уровне пользователя). Так же интересны обзоры и метрики. Так же хотелось бы понимать как понять что исполнитель настроил все правильно....ну тп
Здравствуйте Николай. Спасибо за видео. Вопрос такой: из какого слоя OSI limitreq берёт значение реального ip адреса? Можно ли как-то повлиять на значение IP адреса, который limitreq считает реальным? Это вопрос в контексте связви nginx limitreq + fail2ban + cloudflare. Я задавал вопрос об этом в другом видео. У меня пока не получилось это решить. Проблема в том что находязь за cloudflare limitreq все внутренние адреса этого сервиса воспринимает как реальные и банит их. В переменной $binary_remote_addr всегда хранится один из внутренних адресов cloudflare. В то время как без limitreq, nginx нормально обрабатывает все запросы и значение reail_ip берет из заголовков.
В джейле [sshd] 9:20 всё будет работать по умолчанию, а в джейле [proftpd] 10:10 заметьте что нет enable значит он не включён. Так как понять в каком случае надо ставить enable, а в каком нет?
Настроил на сервере openvpn и закрыл 22й порт фаерволом, а подключения разрешил только с интерфейса tun (с которого идут пакеты openvpn), проблема ботов была решена решена.
А чем защищаться владельцам к примеру игровых серверов?) У меня мощное железо с огромным запасом, тоесть сам игровой сервер может использовать лишь 30% мощности в пиковой нагрузке, тобишь 70% мощности сервера запас в простое. Интернет канал в 500 мегабит, навороченный роутер с межсетевым экраном за конские бабки. Но пара ip стрессеров укладывают его без проблем, не всегда ложат, в большинстве сервер увеличивает задержку. Как защититься хотябы от этих любителей, речь конечно не идет о профи с бот нетом, им игровые проекты в целом не интересны и цены пусуточные за это дело платить мало кто готов. Не нада только предлагать мне переезд в дата центр, я вас прошу. Еще этот виндовс сервер который вообще при любой атаке начинает кашлять и чихать, линукс куда интереснее, но ядро сервера умеет работать только с виндовс.
Не рекомендую ставить Fail2Ban в качестве защиты от Dos атак через nginx, если у вас более тысячи запросов в секунду он просто съест всё ЦП и убьёт сервер. В интернете уже давно есть большое количество более оптимизированных решений, в том числе от обычных пользователей.
Не забываем писать вопросы в комментах!
про limit_zone что бы оно работало надо Nginx пересобирать так ?
@@egorgorbachev Нет, это стандратный модуль, обычно он есть в поставке.
@@NickLavlinsky ага спасибо но если будет повтор темы этой ) то будет супер
@@egorgorbachev Пожалуйста: ua-cam.com/video/S5kB0_mACJQ/v-deo.html
Благодарю за полезное видео
Спасибо.
Спасибо за видео и ваши труды! Есть пожелание...
Снимайте больше видео для нубов и чайников.
Вот например мне интересна вся эта тематика со стороны пользователя. Я бы хотел понимать для чего мне все эти инструменты, какие из них лучше и почему. Так же хотелось бы понимать как проверить результат работы специалиста, различные инструменты и метрики. На просторах ютуба на эту тематику вообще нет видео.
Вот здесь подробнее нужно: вы какой пользователь? У вас есть проект и вы за него отвечаете, но не являетесь техническим специалистом?
@@NickLavlinsky у меня свой сайт. Лично мне интересно узнавать какие сервера лучше, какие панели управления, как защитить свой сайт, что хорошего в CDN, что такое Apache и Nginx (но на уровне пользователя). Так же интересны обзоры и метрики. Так же хотелось бы понимать как понять что исполнитель настроил все правильно....ну тп
ого как тема. больше админских тем!
Здравствуйте Николай. Спасибо за видео.
Вопрос такой: из какого слоя OSI limitreq берёт значение реального ip адреса?
Можно ли как-то повлиять на значение IP адреса, который limitreq считает реальным?
Это вопрос в контексте связви nginx limitreq + fail2ban + cloudflare. Я задавал вопрос об этом в другом видео. У меня пока не получилось это решить.
Проблема в том что находязь за cloudflare limitreq все внутренние адреса этого сервиса воспринимает как реальные и банит их. В переменной $binary_remote_addr всегда хранится один из внутренних адресов cloudflare. В то время как без limitreq, nginx нормально обрабатывает все запросы и значение reail_ip берет из заголовков.
IP всегда в одном уровне OSI. Читайте доки, поставьте ключом realip: nginx.org/ru/docs/http/ngx_http_limit_req_module.html#limit_req_zone
Спасибо за классное видео. У меня почему-то ipset всегда показывает timeout 0 . Вот не пойму почему .
а не задушит систему ?) iptables может задушить себя если правил будет слишком много и много ip
Я правильно понимаю, что это имеет смысл применять в случае если nginx обращается к php-fpm. А если он отдает статические файлы то есть смысл?
В джейле [sshd] 9:20 всё будет работать по умолчанию, а в джейле [proftpd] 10:10 заметьте что нет enable значит он не включён. Так как понять в каком случае надо ставить enable, а в каком нет?
Настроил на сервере openvpn и закрыл 22й порт фаерволом, а подключения разрешил только с интерфейса tun (с которого идут пакеты openvpn), проблема ботов была решена решена.
Хорошее решение, пока работает OpenVPN.
Wordpress не работает с такими настройками ограничения трафика Nginx
Если говорить глобально, то лимиты нужно подбирать индивидуально для проекта, не нужно копировать настройки из видео, они могут вам не подойти.
увы, но f2b уже не торт. в него навернули столько свистелок и перделок, что применять его можно в таком виде только нигде.
А чем вы пользутесь? Может какие алтернативы подскажете?
А чем защищаться владельцам к примеру игровых серверов?) У меня мощное железо с огромным запасом, тоесть сам игровой сервер может использовать лишь 30% мощности в пиковой нагрузке, тобишь 70% мощности сервера запас в простое. Интернет канал в 500 мегабит, навороченный роутер с межсетевым экраном за конские бабки. Но пара ip стрессеров укладывают его без проблем, не всегда ложат, в большинстве сервер увеличивает задержку. Как защититься хотябы от этих любителей, речь конечно не идет о профи с бот нетом, им игровые проекты в целом не интересны и цены пусуточные за это дело платить мало кто готов. Не нада только предлагать мне переезд в дата центр, я вас прошу. Еще этот виндовс сервер который вообще при любой атаке начинает кашлять и чихать, линукс куда интереснее, но ядро сервера умеет работать только с виндовс.
Используйте специальные сервисы защиты, например qrator
тут смотрел тоже и от правил 5 10к тот же iptables сам себя задушит... в целом была идея ip в txt бросать и общее правило блок ip из этого файла
Не рекомендую ставить Fail2Ban в качестве защиты от Dos атак через nginx, если у вас более тысячи запросов в секунду он просто съест всё ЦП и убьёт сервер. В интернете уже давно есть большое количество более оптимизированных решений, в том числе от обычных пользователей.
Посоветуйте, что, по вашему мнению, является более лучшим решением