###前提・実現したいこと
現在、Apache + mod_dosdetector にて簡単なDos対策を行っているのですが、BAN時に503エラーで返していてもApacheのMaxClientsに達してしまいます。
そのため、nginxをリバースプロキシとして使用し、静的コンテンツはnginxで処理し、残りをApacheへパスするようにしようかと考えています。(1ページあたり画像が10~20は使用するため)
nginx標準モジュールでのDos対策m(ngx_http_limit_req_moduleなど)も検討しましたが、今回初めてnginxを導入しており、また数か月後にサーバ機器の切替を行う予定しておりますので、現行・新サーバどちらでも大丈夫となるように、nginx導入時はなるべく最小限の修正で済ませ、サーバ切替後に改めて検討したいという思惑があります。
そのため、nginx導入+mod_rpadによるX-Forwarded-ForからのIP書き戻しにて対処しDoS対策は現行どおりmod_dosdetectorにて行ってみたのですが、Apacheのログとmod_dosdetector でBANしたときに出力されるApacheのerror_logへはリバースプロキシのIPである127.0.0.1が出力されています。
(サイトへリモートIPを表示させる箇所があり、そちらはアクセス元のIPに書き換わっています)
ただ、mod_dosdetectorでBANされた状態で、別端末を用いて異なるリモートIPからアクセスしたところ、なぜかサイトは表示されています。
この現象について何かご存じの方いらっしゃいましたら解決方法をご教授いただけますでしょうか。
###設定内容など
・nginxで静的コンテンツとマッチしないものはApacheへ
server { listen 80 default_server; server_name example.com www.example.com; # log access_log /var/log/nginx/www.example.com.log main; error_log /var/log/nginx/www.example.com.error.log error; # error page error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } # static contents location /css/ { root /home/example.com/public_html; } location /images/ { root /home/example.com/public_html; } location /js/ { root /home/example.com/public_html; } location /favicon.ico { root /home/example.com/public_html; } location /robots.txt { root /home/example.com/public_html; } # dynamic contents location / { proxy_pass http://127.0.0.1:8080; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
・Apacheへは、mod_rpaf.soをインストール
http.confは下記のようにしています
(略) LoadModule dosdetector_module /usr/lib64/httpd/modules/mod_dosdetector.so LoadModule rpaf_module /usr/lib64/httpd/modules/mod_rpaf.so (略) <IfModule dosdetector_module> DoSDetection On DoSPeriod XXX DoSThreshold XXX DoSHardThreshold XXX DoSBanPeriod XXX DoSTableSize XXX DoSIgnoreContentType .(javascript|png|jpeg|gif|css|flash) </IfModule> <IfModule rpaf_module> RPAF_Enable On RPAF_ProxyIPs 127.0.0.1 RPAF_Header X-Forwarded-For RPAF_SetHostName On RPAF_SetHTTPS On RPAF_SetPort On RPAF_ForbidIfNotProxy Off </IfModule> (略)
※dosdetector_moduleの設定値は現サーバで使用しているものとあわせているため、公開できない箇所は「XXX」にしています。
###補足情報(言語/FW/ツール等のバージョンなど)
▽ nginx試験導入の環境(数か月後に切り替える新サーバと同環境)
・CentOS 7.2
・Apache 2.4.6 (prefork)
・nginx 1.12.1
・mod_rpad https://github.com/gnif/mod_rpaf.gitをcloneしてインストール
・mod_dosdetector https://github.com/stanaka/mod_dosdetector.gitをcloneしてインストール
▽ 現在のサーバの環境
・CentOS 6.7
・Apache 2.2.15 (prefork)
・mod_dosdetector http://sourceforge.net/projects/moddosdetector/files/moddosdetector/version-0.2/mod_dosdetector-0.2.tar.gzからwgetしてインストール
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/07/27 06:14