nginx – 我如何拒绝所有不是来自cloudflare的请求?

前端之家收集整理的这篇文章主要介绍了nginx – 我如何拒绝所有不是来自cloudflare的请求?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我最近得到了来自多个代理服务器的拒绝服务攻击,所以我安装了cloudflare来防止这种情况.然后我开始注意到他们通过直接连接到服务器的ip地址并伪造主机头来绕过cloudflare.

在不同于cloudflare使用的18个ip地址的连接上返回403的最佳性能是什么?
我试图拒绝所有然后明确允许cloudflare ips,但这不起作用,因为我已经设置它,以便CF-Connecting-IP设置ip允许测试.

我正在使用Nginx 1.6.0.

最佳答案
最高效的方式是服务器前面的硬件防火墙.或者向您的数据中心/上游提供商寻求帮助以减轻攻击.

在Web服务器或iptables中阻止它可能会有所帮助,但仍然使用带宽和系统资源,因此仍然可以进行DoS攻击.您想要的是尽可能阻止上游的流量 – 因此流量永远不会到达您的服务器,并且不会将您的链接充斥到世界其他地方.硬件防火墙可以比网络服务器更快,更快地过滤流量,并且不使用任何服务器资源.当您需要直接连接时,您将希望它们允许来自cloudflare以及您的办公室或其他服务器的流量.

更改服务器的IP也可能有所帮助 – 只有cloudflare需要知道新IP,不要将其发布在公共DNS记录中.

猜你在找的Nginx相关文章