Какой firewall поставить сервер?

Question

[fedorchuk]

Посоветуйте какой файревол поставить на сервер, на сервере висит несколько сайтов со слабым посещением и астериск, все работало 4 года, а в последнее время сервер упал, хостер отключил его за превышение нагрузки. Думаю кто-то ломится на сервер, посоветуйте простое решение, так как я не очень продвинутый пользователь в Линуксе.

Comments

[Ульрих]

Хостинг то какой? VDS ил shared?
есть только один православный firewall, это iptables. И он уже установлен, настраивайте его

[fedorchuk]

Ульрих: Open VZ

[Юрий Чудновский]

превышение какой нагрузки привело к отключению?

[fedorchuk]

TП не многословна: "We have suspended your VPS for causing a high load on the server. I am currently looking into this further and will update you shortly."

Answer 1

[meat15]

Для начала корректно настроить IPTABLES и закрыть доступ для входящих соединений.

Comments

[fedorchuk]

Мне хостер порекомендовал www.woktron.com/secure/knowledgebase/77/Installati...

Я правильно понял, что это тот же iptables но с какой-то оболочкой?

[meat15]

fedorchuk: С CSF не сталкивался. Судя по описанию имеет гибкую систему настроек и работает с панелями управления хостингом. По сути дополнение к iptables.

[fedorchuk]

meat15: если у меня нет этих панелей, мне это не пригодится. Правильно?

[meat15]

fedorchuk: Интеграция в панели - как доп. элемент. Брандмауэр работает как с панелями управления хостингом, так и без них.

Answer 2

[Данил Бирюков-Романов]

Firewall не поможет в таком случае.

Firewall - это защита уже на сервере. То есть пакеты пришли к тебе на VDS и уже там ты разбираешься, надо оно тебе или нет.

Хостер отключает, если нагрузка идет на канал до сервера. А фильтровать канал ДО сервера ты не сможешь никак - тебе просто не дадут доступа к оборудованию дата центра.

Какие есть решения в данной ситуации:

- Определить DDoS ли это или нормальная нагрузка.
Может быть проект вырос и пора переехать на Dedicated? Там и канал толще и запаса больше.
- Если это все же DDoS, уточняем у хостера есть ли у них в партнерах какая-нибудь фирма по защите от DDoS, обычно можно получить скидку. После этого В НАЧАЛЕ переносим сайты на другой VDS, говорим IP фирме по защите от DDoS и меняем записи в DNS как они скажут. Это нужно, чтобы атакующие не узнали наш новый IP.

Comments

[fedorchuk]

Проекты точно не выросли.
Ddosить сайт городского клуба любителей кошек смысла нет, грешу на астериск, возможно китайцы или кто-то просто долбит с переборами паролей.
Хостер помочь особо ни чем помочь не сможет, небольшой буржуинский... На самом деле я не знаю, что с сервером, в какой то момент упал, они возились перезапускали апаче, нетворк и т.д. Я предположил, что может кто-то долбит, они ухватились за идею, мол, да скорее всего, настраивай firewall..

[Данил Бирюков-Романов]

fedorchuk: Если подозреваешь такое - то да, нужен firewall

Просто в iptables запрещаешь все порты, кроме 80, 443 и портов Aterisk (увы, не знаю какие порты использует). Переносишь SSH на какой-нибудь далекий порт (30000+) и пусть висит себе там.

Запрет логина по SSH по паролю и запрет на логин под рутом. Так же стоит посмотреть на fail2ban.

[fedorchuk]

я посмотрел, (top) проблема в apache2. как можно узнать какой сайт атакуют? или где поcмотреть ip тех, кто атакует?

[Данил Бирюков-Романов]

IP будут в логе - access.log апача, или access.log сайта, точнее не скажу - смотри настройки апача.
По атакуемому сайту - можно попробовать использовать apachetop или сделать запуск php через fast-cgi, причем для каждого сайта запускать fast-cgi от отдельного пользователя.
Тогда по нагрузке будет видно проблемный сайт.

Nginx перед apache установлен?

[fedorchuk]

спасибо. Разобрался. кто-то из Чили долбил с одного IP. Заблокировал. Все наладилось, наверное школьник какой-то)) Этот ip уже в базах засветился.
Nginx не стоит.

[Данил Бирюков-Романов]

fedorchuk: Поставь, нагрузка сильно упадет :)

[fedorchuk]

Данил Бирюков-Романов: со временем, нужно еще разобраться что и как

Answer 3

[Александр]

https://www.cloudflare.com/