Q&A
###前提・実現したいこと
現在、Apache + mod_dosdetector にて簡単なDos対策を行っているのですが、BAN時に503エラーで返していてもApacheのMaxClientsに達してしまいます。
そのため、nginxをリバースプロキシとして使用し、静的コンテンツはnginxで処理し、残りをApacheへパスするようにしようかと考えています。(1ページあたり画像が10~20は使用するため)
nginx標準モジュールでのDos対策m(ngx_http_limit_req_moduleなど)も検討しましたが、今回初めてnginxを導入しており、また数か月後にサーバ機器の切替を行う予定しておりますので、現行・新サーバどちらでも大丈夫となるように、nginx導入時はなるべく最小限の修正で済ませ、サーバ切替後に改めて検討したいという思惑があります。
そのため、nginx導入+mod_rpadによるX-Forwarded-ForからのIP書き戻しにて対処しDoS対策は現行どおりmod_dosdetectorにて行ってみたのですが、Apacheのログとmod_dosdetector でBANしたときに出力されるApacheのerror_logへはリバースプロキシのIPである127.0.0.1が出力されています。
(サイトへリモートIPを表示させる箇所があり、そちらはアクセス元のIPに書き換わっています)
ただ、mod_dosdetectorでBANされた状態で、別端末を用いて異なるリモートIPからアクセスしたところ、なぜかサイトは表示されています。
この現象について何かご存じの方いらっしゃいましたら解決方法をご教授いただけますでしょうか。
###設定内容など
・nginxで静的コンテンツとマッチしないものはApacheへ
server { listen 80 default_server; server_name example.com www.example.com; # log access_log /var/log/nginx/www.example.com.log main; error_log /var/log/nginx/www.example.com.error.log error; # error page error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } # static contents location /css/ { root /home/example.com/public_html; } location /images/ { root /home/example.com/public_html; } location /js/ { root /home/example.com/public_html; } location /favicon.ico { root /home/example.com/public_html; } location /robots.txt { root /home/example.com/public_html; } # dynamic contents location / { proxy_pass http://127.0.0.1:8080; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
・Apacheへは、mod_rpaf.soをインストール
http.confは下記のようにしています
(略) LoadModule dosdetector_module /usr/lib64/httpd/modules/mod_dosdetector.so LoadModule rpaf_module /usr/lib64/httpd/modules/mod_rpaf.so (略) <IfModule dosdetector_module> DoSDetection On DoSPeriod XXX DoSThreshold XXX DoSHardThreshold XXX DoSBanPeriod XXX DoSTableSize XXX DoSIgnoreContentType .(javascript|png|jpeg|gif|css|flash) </IfModule> <IfModule rpaf_module> RPAF_Enable On RPAF_ProxyIPs 127.0.0.1 RPAF_Header X-Forwarded-For RPAF_SetHostName On RPAF_SetHTTPS On RPAF_SetPort On RPAF_ForbidIfNotProxy Off </IfModule> (略)
※dosdetector_moduleの設定値は現サーバで使用しているものとあわせているため、公開できない箇所は「XXX」にしています。
###補足情報(言語/FW/ツール等のバージョンなど)
▽ nginx試験導入の環境(数か月後に切り替える新サーバと同環境)
・CentOS 7.2
・Apache 2.4.6 (prefork)
・nginx 1.12.1
・mod_rpad https://github.com/gnif/mod_rpaf.gitをcloneしてインストール
・mod_dosdetector https://github.com/stanaka/mod_dosdetector.gitをcloneしてインストール
▽ 現在のサーバの環境
・CentOS 6.7
・Apache 2.2.15 (prefork)
・mod_dosdetector http://sourceforge.net/projects/moddosdetector/files/moddosdetector/version-0.2/mod_dosdetector-0.2.tar.gzからwgetしてインストール
回答1件
0
ベストアンサー
mod_rpaf と mod_dosdetector で、参照している変数が異なっているようです。
Apache httpd 2.2 の場合、mod_rpaf, mod_dosdetector ともに、同じ変数 connection->remote_ip を参照しています。
一方、Apache httpd 2.4 の場合、mod_rpaf では変数 useragent_ip を、mod_dosdetector では変数 connection->client_ip を見ていて、異なっています。
mod_dosdetector.c の下記の箇所を修正するといいのではないでしょうか。
(修正前) #if (AP_SERVER_MINORVERSION_NUMBER > 2) address = r->connection->client_ip; #else address = r->connection->remote_ip; #endif (修正後) #if (AP_SERVER_MINORVERSION_NUMBER > 2) address = r->useragent_ip; #else address = r->connection->remote_ip; #endif
ちなみに、mod_rpaf と同様の機能を持つ mod_remoteip も、変数 useragent_ip を参照しているようです。
投稿2017/07/26 14:00
総合スコア12146
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/27 06:14