Защита от DDoS apache+nginx

[imperio]

а вот что то с server-status сходу не разобрался

А какую ошибку выдаёт при доступе ?
http://localhost/server-status
localhost - это ваш основной ip сервера

[Peca]

А ни какой не выдавал, просто тишина, я сейчас еще в один контейнер поставил VESTA хочу туда перенести проблемный сайт и там попробовать накатить модули все.
Если есть где то конфиги под весту, дайте ссылочку, а то я честно скажу слабоват в linux

[imperio]

А ни какой не выдавал, просто тишина

Что то должно выдавать, или ошибку или страницу с работающим модулем.

Документация по конфигам для CentOS
http://vestacp.com/docs/#config-log-loc ... hel-centos

[Peca]

Спасибо, за оперативные ответы, утром на свежую голову изучу сейчас перенес на отдельный контейнер посмотрим как там поболтается и как себя будет вести.

[Deeryo]

Я предлагаю попробовать шаблон nginx caching, он кеширует ответы php.
Возможно надо настроить proxy_cache_bypass, например:
proxy_cache_bypass $cookie_session $cookie_phpsessid $http_x_update;
Важный момент - сайту лучше всего не создавать сессию как можно дольше, только при логине юзера с паролем создавать. Тогда не будет $cookie_phpsessid и сайт будет кешироваться. Если же создавать сессию сразу, то $cookie_phpsessid не даст его кешировать.

[Peca]

Подскажите пожалуйста, как создать шаблон чтоб vesta работала только с nginx без php, вроде писали по поводу того что планируют сделать такой функционал.

[imperio]

Пока никак.
Nginx + php-fpm на стадии разработки.
Следите за таском
https://bugs.vestacp.com/responses/php-fpm-nginx

[yariksat]

для 512 оперативы

для CentOS (для дебиана чуть поменяются пути)

Code: Select all

/etc/my.comf


#####
# From mysql 5.5 low memory use 231M 
#####

[mysqld]
datadir=/var/lib/mysql
socket=/var/lib/mysql/mysql.sock
user=mysql
symbolic-links=0
max_connections=70
max_user_connections=30
wait_timeout=10
interactive_timeout=50
slow_query_log = 0
long_query_time= 5
log-queries-not-using-indexes
slow_query_log_file=/var/log/mysql/log-slow-queries.log

key_buffer_size = 8M
myisam_sort_buffer_size = 4M
join_buffer_size = 512K
read_buffer_size = 512K
sort_buffer_size = 1M
table_cache = 2048
thread_cache_size = 128
max_allowed_packet = 16M
query_cache_limit = 2M
query_cache_size = 8M
tmp_table_size = 16M


#innodb_use_native_aio = 0
innodb_file_per_table
innodb_buffer_pool_size = 8M


[mysqld_safe]
log-error=/var/log/mysqld.log
pid-file=/var/run/mysqld/mysqld.pid

включить при загрузки iptables

Code: Select all

chkconfig iptables 

на вскидку

Code: Select all

/etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [16807:31509796]
-A INPUT -i lo -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 21 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --rcheck --seconds 6000 --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m hashlimit --hashlimit-above 2/min --hashlimit-burst 2 --hashlimit-mode srcip --hashlimit-name BLOCK -m recent --set --name BLOCK --rsource -j DROP 
-A INPUT -p tcp -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 600/min --limit-burst 100 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -m state --state NEW -m limit --limit 600/min --limit-burst 100 -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP 
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP 
-A INPUT -j REJECT --reject-with icmp-host-prohibited

Code: Select all

service iptables start

как то так

А куда это все прописать в дебиан 7,что-то не вкурю?Записываю но при рестарте файрвола файл перезаписывается.

[demian]

не знаю как панель воспримет эти правила еще не разбирался правила писались до того как в панели появилась оснастка фаервола, последняя панель перезаписывает правила при старте насколько я понял

вообще после забивки правил в iptables команда iptables_save без параметров должна сохранить правила в файл правил по умолчанию

[Baggio824]

Ставьте ddos deflate ^_^