Документация ISPmanager Lite

Интеграция с DDoS-GUARD

Введение


Модуль DDoS-GUARD в ISPmanager защищает сайты от так называемого HTTP(S) флуда. Данный модуль позволяет подключить к DDoS-защите один или несколько доменов.

Официальный сайт DDoS-GUARD .

Страница модуля интеграции DDoS-GUARD на сайте ISPsystem .

Установка


Для установки плагина из-под учетной записи root пройдите в Интеграция → Модули.

Установка модуля интеграции производится по кнопке Установить. Если кнопка Установить не появилась, обновите страницу.

Использование


После установки модуль становится доступен для использования. Перейти на основную страницу модуля DDoS-GUARD можно, кликнув по:

  • Кнопке Настроить на странице покупки модулей.
  • Пункте меню Инструменты → DDoS-GUARD
  • Кнопке DDoS-GUARD в www-домене (если лицензия уже куплена)

Интерфейс модуля

Основная страница модуля DDoS-GUARD визуально делится на две части:

  • Панель кнопок
  • Список подключенных доменов и псевдонимов

Панель кнопок содержит:

  • Добавить — для подключения домена или/и псевдонима к защите;
  • Изменить — для изменения IP-адресов;
  • Удалить — для отключения домена/псевдонима от защиты;
  • Списки доступа — управление черными/белыми списками;
  • Настройки — доступно подключение авторешения и изменение правил брандмауэра.

Список подключенных доменов содержит колонки:

  • Имя — Имя подключенного домена или псевдонима;
  • Веб-домен — Имя домена, к которому принадлежит псевдоним;
  • Владелец — Владелец веб-домена;
  • Состояние — Отображается текущее состояние;
  • IP-адрес — IP-адрес веб-домена;
  • proxy-IP — IP-адрес веб-домена в сервисе DDoS-GUARD.

Описание иконок состояний

Иконка

Состояние

Описание
Таблица с описанием иконок состояний

Защита включена

Включена защита. При наличии сервиса доменных имен меняются А-записи доменов на значение IP сервиса DDoS-GUARD

Защита отключена

Отключена защита. При наличии сервиса доменных имен меняются А-записи доменов на значение IP, указанных на странице веб-доменов

Нет проблем с модулем

При работе модуля проверяется:

  • Наличие файлов настроек Apache для модулей (RPAF и Remote_IP)
  • Наличие файла настройки nginx
  • Наличие сервиса доменных имен
  • Наличие соответствующих записей в серверах имен
  • Наличие веб-домена
  • Наличие лицензии на веб-домен в сервисе DDoS-GUARD

Обнаружены проблемы

Показывается, если есть любая из проблем, описанная выше.

Лицензия получена

На веб-домен имеется лицензия

Домен удален

Показывается, если есть лицензия на веб-домен, который был удален из списка веб-доменов

Ожидание

Иконка показывается, если модуль ожидает получение/удаление лицензии

Лицензия удалена

Показывается, если лицензия была удалена через биллинговую систему и имеются настройки на домен

Заказ лицензии DDoS-GUARD для домена

Чтобы заказать лицензию, нужно перейти на основную страницу модуля DDoS-GUARD и нажать кнопку Добавить, или нажать кнопку DDoS-GUARD на странице веб-доменов (если до этого лицензия не была заказана).
Заказ домена происходит в три этапа:

  • Этап проверки домена и его IP-адресов
  • Этап проверки псевдонимов
  • Завершение — на этом этапе происходит заказ лицензии в биллинге.

Под псевдонимом домена подразумевается псевдоним, не являющийся поддоменом, например:

  • test.ru — домен
  • www.test.ru, wiki.test.ru, forum.test.ru — псевдонимы, которые являются поддоменами. На них распространяется защита, если их А-записи совпадают с основным доменом.
  • alias.ru, www.alias.ru — псевдонимы, которые не являются поддоменами. На них не распространяется защита, их необходимо подключать как отдельную услугу.

Если с момента последнего заказа с биллинговой системы прошло больше часа или заказ защиты происходит впервые, то будет предложено ввести учетные данные для работы в биллинговой системе.

Внимание.

Оплачивается каждый домен и псевдоним. Поддомены домена входят в стоимость домена, при условии, что они ведут на один IP. Если у веб-домена существуют псевдонимы и они не подключены к сервису DDoS-GUARD, то на них не распространяется защита.

Изменение данных лицензии DDoS-GUARD

Для изменения доступны только IP-адреса. Для этого необходимо нажать на кнопку Изменить на основной странице модуля DDoS-GUARD. Изменение домена происходит в три этапа:

  • Этап проверки домена и его IP-адресов. Измененые на этом этапе IP-адреса отправляются на серверы DDoS-GUARD и применяются для веб-домена
  • Этап проверки псевдонимов
  • Завершение — на этом этапе происходит изменение лицензии в биллинге и веб-доменах.

Удаление

Для удаления защиты веб-домена в сервисе DDoS-GUARD необходимо нажать на кнопку Удалить, при необходимости будет запрошены учетные данные для биллинговой системы (при этом, ввиду особенностей среды, для удаления защиты необходимо нажать кнопку Удалить повторно).

Включение/отключение от защиты DDoS-GUARD

При включении/отключении изменяются А-записи доменных имен, то есть данная возможность работает при условии, что есть сервис доменных имен. Включение производится нажатием на кнопку Включить. Отключение производится нажатием на кнопку Отключить.

Настройки

На форму настроек можно перейти нажатием на кнопку Настройки. На этой форме доступны следующие настройки:

  • Подключить защиту автоматически
  • Подключить защиту по IP

При подключении автоматической защиты следующие настройки применяются автоматически :

  • Создание настроек для nginx и Apache.
    • Создается файл ddosguard_remoteip.conf в директории Apache, сконфигурированной для файлов включений, например /etc/apache2/conf.d, со следующим содержанием:
      <IfModule remoteip>
      RemoteIPHeader X-Real-IP
      RemoteIPInternalProxy 127.0.0.1 186.2.160.0/24
      </IfModule>;
    • Создается файл ddosguard_rpaf.conf в директории Apache, сконфигурированной для файлов включений, например /etc/apache2/conf.d, со следующим содержанием:
      <IfModule rpaf>
      RPAFenable On
      RPAFsethostname On
      RPAFprotected_ips 186.2.160.0/24
      RPAFheader X-Real-Ip
      </IfModule>;
    • Создается файл ddosguard_remote.conf в директории nginx, сконфигурированной для файлов включений, например /etc/nginx/vhosts-includes, со следующим содержанием:
      set_real_ip_from 186.2.160.0/24;
    • При подключенном сервере имен, автоматическое изменение А-записей.

При подключении защиты по IP правилами брандмауэра запрещаются любые подключения по 80 и 443 портам, кроме подключений через сервис DDoS-GUARD.

Списки доступа

Список черных/белых правил для управления сервисом DDoS-GUARD позволяет блокировать/разрешать доступ с определенных IP-адресов или подсетей.

Список доступа содержит колонки:

  • IP-адреса — IP-адрес или подсеть;
  • Дата добавления — Дата и время создания/изменения адреса;
  • Тип правила — Тип правила — блокировать или разрешать;
  • Причины — Любой текст для пояснения не более 255 символов, может быть пустым.

Создание правила

Для создания правила необходимо нажать на кнопку Добавить. На открывшейся странице можно выбрать тип правила и написать пояснение к правилу. IP-адреса или подсеть вводят через запятую, при этом маска подсети не должна быть меньше 24. Примеры верного ввода адреса или подсети:

  • 8.8.8.8;
  • 8.8.8.8/32;
  • 4.4.4.4/24;
  • 10.0.0.1, 20.20.20.20/32, 3.30.30.30/24.

Изменение правила

Для изменения правила необходимо нажать на кнопку Изменить. При изменении правила возможно поменять тип и причину добавления, само правило (IP/подсеть) недоступно для редактирования.

Удаление правила

Для удаления правила необходимо нажать на кнопку Удалить.

Описание ошибок при работе модуля

Попасть на страницу описания проблем можно, нажав на значок ошибки в списке веб-доменов или основной странице модуля DDoS-GUARD. Наличие ошибок проверяется каждые 5 минут, действие ddosguardcheck запускается в cron. Действие ddosguard.dig для проверки А-записи веб-домена на серверах имен запускается каждые 6 минут через механизм API — periodic.

Страница описания проблем

Тип ошибки

Ошибка

Описание и возможные пути решения
Таблица с описанием ошибок пр работе модуля DDoS-GUARD

Лицензия

Отсутствует лицензия на домен. Лицензия не обновлена или была удалена через биллинговую систему.

Удалить запись, восстановить настройки DNS или заказать лицензию заново

Имя домена

Домен или псевдоним отсутствует на сервере, по кнопке "Решить" лицензия DDoS-GUARD будет удалена.

Домен или псевдоним был удален, при этом осталась лицензия.

IP

IP в лицензии и списке веб-доменов не совпадают

При нажатии на кнопку Решить  IP-адреса синхронизируются с биллинговой системой и сервисом DDoS-GUARD. Изменения будут применены в течении часа.

DNS

Отсутствует запись в DNS для домена. Добавьте запись.

В записях DNS отсутствует запись со значением, указанным в лицензии. Необходимо добавить А-запись с именем www-домена, указанным в лицензии.

DNS

IP в лицензии и DNS записях не совпадают

Автоматически изменяет А-записи доменных имен по нажатию на кнопку Решить  или при включенной опции "Подключить защиту автоматически".

DNS

IP в лицензии и на серверах имен не совпадают

Проверка утилитой dig, существует ли такая запись на серверах имен. Если после часа ожидания эта ошибка не решилась автоматически, поменяйте А-записи на сервере имен.

DNS

Домен не делегирован.

Проверка утилитой dig, домен не делегирован.

DNS

Отсутствует модуль управления DNS записями. Внесите изменения в DNS-записи.

Необходимо внести правки в А-записи на сервере имен вручную, так как отсутствует возможность автоматического управления доменными именами.

Настройки конфигурации

Отсутствует файл лицензии для модуля Apache Remote_IP.

Нет прав для записи в директории Apache.

Настройки конфигурации

Отсутствует файл лицензии для модуля Apache RPAF.

Нет прав для записи в директории Apache.

Настройки конфигурации

Отсутствует файл лицензии для модуля nignx remote_ip

Нет прав для записи в директории nginx.