We are happy to announce that Vesta is back under active development as of 25 February 2024. We are working on v1 candidate and expect to engage more with the community over the coming months. We are committed to open source, and we encourage contributors to help us build the future of Vesta.
VestaCP Firewalld за CloudFlare Не блокирует запросы.
VestaCP Firewalld за CloudFlare Не блокирует запросы.
Добрый день!
1. Внутри сервера настройка стоит nginx+apache2 для доменов.
2. Сайты стоят за Cloudflare.
3. Переключение настроек для домена с nginx или без nginx - ничего не меняет, правила по-прежнему не работают на блокировку.
Если же делаю SUSPEND на правило 0.0.0.0/0 ACCEPT 80,443 (WEB) , то все "ок" - сервер не принимает никаких коннектов :)
Нужно чтобы принимал все, ЗА ИСКЛЮЧЕНИЕМ тех кто введены в правилах где стоит DROP.
Пробовал также менять местами правила. Сначала указать ACCEPT правило, а потом все на DROP, и наоборот (так по стандарту в веб-интерфейсе правила добавляются вверх, а в конфиге они идут вниз), но тоже ничего не изменилось.
Если проверяю Netstat, то коннекты вижу только с IP Адресов Cloudflare, хотя в стандартном nginx конфиге вроде как прописано отображение корректного IP.
Если смотреть на вкладке https://SERVERIP:8083/list/server/?web , то виуже тоже реальные IP коннетов - ничего не понимаю...
В самих логах Apache для доменов уже настоящие IP отображаются, то есть Nginx принимает запрос от клауда, и передает в Apache корректный IP.
Проблема в том что через веб-интерфейс ввожу правила для блокировки по IP и они не работают. Что можно сделать?
1. Внутри сервера настройка стоит nginx+apache2 для доменов.
2. Сайты стоят за Cloudflare.
3. Переключение настроек для домена с nginx или без nginx - ничего не меняет, правила по-прежнему не работают на блокировку.
Если же делаю SUSPEND на правило 0.0.0.0/0 ACCEPT 80,443 (WEB) , то все "ок" - сервер не принимает никаких коннектов :)
Нужно чтобы принимал все, ЗА ИСКЛЮЧЕНИЕМ тех кто введены в правилах где стоит DROP.
Пробовал также менять местами правила. Сначала указать ACCEPT правило, а потом все на DROP, и наоборот (так по стандарту в веб-интерфейсе правила добавляются вверх, а в конфиге они идут вниз), но тоже ничего не изменилось.
Если проверяю Netstat, то коннекты вижу только с IP Адресов Cloudflare, хотя в стандартном nginx конфиге вроде как прописано отображение корректного IP.
Если смотреть на вкладке https://SERVERIP:8083/list/server/?web , то виуже тоже реальные IP коннетов - ничего не понимаю...
В самих логах Apache для доменов уже настоящие IP отображаются, то есть Nginx принимает запрос от клауда, и передает в Apache корректный IP.
Проблема в том что через веб-интерфейс ввожу правила для блокировки по IP и они не работают. Что можно сделать?
Re: VestaCP Firewalld за CloudFlare Не блокирует запросы.
Сегодня столкнулся с точно такой же проблемой, тоже не знаю что делать?
узнал о ней так, поднял правило fail2ban на блокировку ошибочной авторизации в Wordpress
увидел что fail2ban легко и корректно добавляет IP адреса в блокировку пачками, но как выяснилось с этих адресов можно по прежнему заходить, лично проверял несколько раз на своем IP
зашел проверил мой ip попадает в список на блокировку, однако я по прежнему свободно захожу на сайт
И я не уверен, что всему виной CloudFlare дело в том, что я пробовал атаковать даже напрямую IP самого сервера перебор паролей для phpmyadmin, а он не имеет отношения к CloudFlare, так вот fail2ban формирует тоже правило на меня, но реально блокировка не происходит.
И тут важный момент я проверял у меня реально такой IP адрес, т.е. сервер его правильно распознает, затем записывает в лог, затем fail2ban его оттуда вычитывает и ставит корректно в блокировку в iptables, но сама блокировка не работает. Может правила в iptables задаются не верно ?
вот как у меня выглядит таблица фаервола:
Что я делаю не так, почему IP не блокируются ?
узнал о ней так, поднял правило fail2ban на блокировку ошибочной авторизации в Wordpress
увидел что fail2ban легко и корректно добавляет IP адреса в блокировку пачками, но как выяснилось с этих адресов можно по прежнему заходить, лично проверял несколько раз на своем IP
зашел проверил мой ip попадает в список на блокировку, однако я по прежнему свободно захожу на сайт
Code: Select all
Chain fail2ban-WEB (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 178.32.55.52 0.0.0.0/0 reject-with icmp-port-unreachable
И тут важный момент я проверял у меня реально такой IP адрес, т.е. сервер его правильно распознает, затем записывает в лог, затем fail2ban его оттуда вычитывает и ставит корректно в блокировку в iptables, но сама блокировка не работает. Может правила в iptables задаются не верно ?
вот как у меня выглядит таблица фаервола:
SpoilerShow
Chain INPUT (policy DROP 20 packets, 800 bytes)
pkts bytes target prot opt in out source destination
472 71902 fail2ban-VESTA tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
0 0 fail2ban-FTP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 180 fail2ban-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
212 13728 f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
30330 3540K fail2ban-WEB tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
135 9555 fail2ban-MAIL tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525,110,995,143,993
820K 335M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 212.8.247.201 0.0.0.0/0
11692 702K ACCEPT all -- * * 127.0.0.1 0.0.0.0/0
9 468 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
27358 1422K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
5 204 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,12000:12100
2 123 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
14 760 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 110,995
2 100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 143,993
3 128 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 3306,5432
222 11528 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
8 290 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 7554 packets, 14M bytes)
pkts bytes target prot opt in out source destination
Chain f2b-sshd (1 references)
pkts bytes target prot opt in out source destination
212 13728 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-FTP (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-MAIL (1 references)
pkts bytes target prot opt in out source destination
Chain fail2ban-SSH (1 references)
pkts bytes target prot opt in out source destination
3 180 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-VESTA (1 references)
pkts bytes target prot opt in out source destination
472 71902 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-WEB (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 178.32.55.52 0.0.0.0/0 reject-with icmp-port-unreachable
Chain vesta (0 references)
pkts bytes target prot opt in out source destination
pkts bytes target prot opt in out source destination
472 71902 fail2ban-VESTA tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
0 0 fail2ban-FTP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 180 fail2ban-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
212 13728 f2b-sshd tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22
30330 3540K fail2ban-WEB tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
135 9555 fail2ban-MAIL tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525,110,995,143,993
820K 335M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT all -- * * 212.8.247.201 0.0.0.0/0
11692 702K ACCEPT all -- * * 127.0.0.1 0.0.0.0/0
9 468 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
27358 1422K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443
5 204 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,12000:12100
2 123 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
14 760 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 25,465,587,2525
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 110,995
2 100 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 143,993
3 128 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 3306,5432
222 11528 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:8083
8 290 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 7554 packets, 14M bytes)
pkts bytes target prot opt in out source destination
Chain f2b-sshd (1 references)
pkts bytes target prot opt in out source destination
212 13728 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-FTP (1 references)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-MAIL (1 references)
pkts bytes target prot opt in out source destination
Chain fail2ban-SSH (1 references)
pkts bytes target prot opt in out source destination
3 180 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-VESTA (1 references)
pkts bytes target prot opt in out source destination
472 71902 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
Chain fail2ban-WEB (1 references)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 178.32.55.52 0.0.0.0/0 reject-with icmp-port-unreachable
Chain vesta (0 references)
pkts bytes target prot opt in out source destination
Re: VestaCP Firewalld за CloudFlare Не блокирует запросы.
все понятно решение найдено, iptables реально ничего не сможет заблокировать потому что cloudflare действительно не заходит на сервер с прямым ip адресом, а лишь возвращает nginx его и надо блокировать адреса на самом cloudflare вот и все решение.
в fail2ban есть пример как это делать, только он устарел но можно нагуглить другие варианты по запросам cloudflare fail2ban увидите много интересного !
у меня получилось все сделать.
в fail2ban есть пример как это делать, только он устарел но можно нагуглить другие варианты по запросам cloudflare fail2ban увидите много интересного !
у меня получилось все сделать.
Re: VestaCP Firewalld за CloudFlare Не блокирует запросы.
Так может опубликуете решение?