質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

解決済

リバースプロキシ後のmod_dosdetectorのIPについて

kedama
kedama

総合スコア19

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

1回答

0評価

0クリップ

2571閲覧

投稿2017/07/26 08:56

編集2017/07/26 09:14

###前提・実現したいこと
現在、Apache + mod_dosdetector にて簡単なDos対策を行っているのですが、BAN時に503エラーで返していてもApacheのMaxClientsに達してしまいます。
そのため、nginxをリバースプロキシとして使用し、静的コンテンツはnginxで処理し、残りをApacheへパスするようにしようかと考えています。(1ページあたり画像が10~20は使用するため)
nginx標準モジュールでのDos対策m(ngx_http_limit_req_moduleなど)も検討しましたが、今回初めてnginxを導入しており、また数か月後にサーバ機器の切替を行う予定しておりますので、現行・新サーバどちらでも大丈夫となるように、nginx導入時はなるべく最小限の修正で済ませ、サーバ切替後に改めて検討したいという思惑があります。

そのため、nginx導入+mod_rpadによるX-Forwarded-ForからのIP書き戻しにて対処しDoS対策は現行どおりmod_dosdetectorにて行ってみたのですが、Apacheのログとmod_dosdetector でBANしたときに出力されるApacheのerror_logへはリバースプロキシのIPである127.0.0.1が出力されています。
(サイトへリモートIPを表示させる箇所があり、そちらはアクセス元のIPに書き換わっています)
ただ、mod_dosdetectorでBANされた状態で、別端末を用いて異なるリモートIPからアクセスしたところ、なぜかサイトは表示されています。

この現象について何かご存じの方いらっしゃいましたら解決方法をご教授いただけますでしょうか。

###設定内容など

・nginxで静的コンテンツとマッチしないものはApacheへ

server { listen 80 default_server; server_name example.com www.example.com; # log access_log /var/log/nginx/www.example.com.log main; error_log /var/log/nginx/www.example.com.error.log error; # error page error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } # static contents location /css/ { root /home/example.com/public_html; } location /images/ { root /home/example.com/public_html; } location /js/ { root /home/example.com/public_html; } location /favicon.ico { root /home/example.com/public_html; } location /robots.txt { root /home/example.com/public_html; } # dynamic contents location / { proxy_pass http://127.0.0.1:8080; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }

・Apacheへは、mod_rpaf.soをインストール
http.confは下記のようにしています

(略) LoadModule dosdetector_module /usr/lib64/httpd/modules/mod_dosdetector.so LoadModule rpaf_module /usr/lib64/httpd/modules/mod_rpaf.so (略) <IfModule dosdetector_module> DoSDetection On DoSPeriod XXX DoSThreshold XXX DoSHardThreshold XXX DoSBanPeriod XXX DoSTableSize XXX DoSIgnoreContentType .(javascript|png|jpeg|gif|css|flash) </IfModule> <IfModule rpaf_module> RPAF_Enable On RPAF_ProxyIPs 127.0.0.1 RPAF_Header X-Forwarded-For RPAF_SetHostName On RPAF_SetHTTPS On RPAF_SetPort On RPAF_ForbidIfNotProxy Off </IfModule> (略)

※dosdetector_moduleの設定値は現サーバで使用しているものとあわせているため、公開できない箇所は「XXX」にしています。

###補足情報(言語/FW/ツール等のバージョンなど)
▽ nginx試験導入の環境(数か月後に切り替える新サーバと同環境)
・CentOS 7.2
・Apache 2.4.6 (prefork)
・nginx 1.12.1
・mod_rpad https://github.com/gnif/mod_rpaf.gitをcloneしてインストール
・mod_dosdetector https://github.com/stanaka/mod_dosdetector.gitをcloneしてインストール

▽ 現在のサーバの環境
・CentOS 6.7
・Apache 2.2.15 (prefork)
・mod_dosdetector http://sourceforge.net/projects/moddosdetector/files/moddosdetector/version-0.2/mod_dosdetector-0.2.tar.gzからwgetしてインストール

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

CentOS

CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。