• Serveurs

  • [Discussion] Bloquer les attaques DDOS avec Nginx via Fail2ban

pour ce tuto
http://mondedie.fr/d/6978

==>Si vous avez une question, une remarque ou une suggestion, n'hésitez pas à poster un commentaire sur ce topic.

ps:n'hesité pas a me laisser un message je repondrais quand j'aurais le temps et surtout la science 🙂

bon courage
hello, qu'entends tu par "lacher du lest" pour un petit neophyte comme moi? merci
9 jours plus tard
bonsoir allan84 lacher du lest,simplement au cas ou il ya aurait trop de personne connecté au serveur
http {
 
#Connexions maximum par ip
limit_conn_zone $binary_remote_addr zone=limit_per_ip:10m;
limit_conn limit_per_ip 15;
 
#Nombre de requêtes/s maximum par ip
limit_req_zone $binary_remote_addr zone=allips:10m rate=150r/s;
limit_req zone=allips burst=150 nodelay;
 
include /etc/nginx/mime.types;
default_type application/octet-stream;
cette ligne ici limit_conn limit_per_ip 15;

si tu as plus de 15 ip connecté ça risque de grincer des pignons
7 jours plus tard
Bonjour,

Qu'entend tu par bloquer une attaque ddos, car actuellement la seule protection efficace que je conaisse (en étant administrateur systèmes et réseaux chez un hébergeur) est la mitigation de l'attaque (et ça ça doit être fait en amont du serveur par du matériel spécifique et couteux, car que ce soit le par-feux ou le serveur web si il se prend des milliers, voir des millions de requéte, le résultat sera le même -> serveur en déni de service).
Failtoban est conçu pour protégé des attaques par force brute (essais répétés jusqu'a réussite).

Peut tu donner plus de détails sur le fonctionnement de cette protection contre les ddos ?
un mois plus tard
Merci pour le tuto, au final, la configuration Nginx ne suffit-elle pas ? Elle ne bannis pas l'ip en fait.

> julienth37, intéressant, en effet, si c'est le routeur avant le serveur qui pète ...
julienth37 wrote:Bonjour,

Qu'entend tu par bloquer une attaque ddos, car actuellement la seule protection efficace que je conaisse (en étant administrateur systèmes et réseaux chez un hébergeur) est la mitigation de l'attaque (et ça ça doit être fait en amont du serveur par du matériel spécifique et couteux, car que ce soit le par-feux ou le serveur web si il se prend des milliers, voir des millions de requéte, le résultat sera le même -> serveur en déni de service).
Failtoban est conçu pour protégé des attaques par force brute (essais répétés jusqu'a réussite).

Peut tu donner plus de détails sur le fonctionnement de cette protection contre les ddos ?
Enfaite ça limite le nombre de connexion par ip. C'est efficace contre des personnes qui flood le serveur de requête à petite échelle.

Cette configuration ne te protégera pas d'une grosse attaque à plusieurs millions de requêtes. Mais ça te protège contre le premier kikoo qui passe par là donc c'est déjà ça de pris.

Par contre pour la partie fail2ban, il bloque l'ip depuis iptables grâce à fail2ban.
Je suis pas convaincu non plus de l'utilité, de plus y a un risque non négligeable de faux positif.

Perso cette config je l'ai mis en place sur le serveur nginx de mondedie depuis le mois de avril/mai et j'ai pas eu de souci.
Je confirme, ça marche
2 mois plus tard

impossible de redemarrer nginx ...

Evites de faire des screens des messages d'erreur mais copie/colle.
un an plus tard

Bonsoir,

Je confirme, impossible de relancer le service nginx...

root@Debianus:/etc/nginx# systemctl status nginx.service
● nginx.service - A high performance web server and a reverse proxy server
Loaded: loaded (/lib/systemd/system/nginx.service; enabled)
Active: failed (Result: exit-code) since lun. 2017-03-06 21:33:10 CET; 11s ago
Process: 22641 ExecStop=/sbin/start-stop-daemon --quiet --stop --retry QUIT/5 --pidfile /run/nginx.pid (code=exited, status=0/SUCCESS)
Process: 22752 ExecStartPre=/usr/sbin/nginx -t -q -g daemon on; master_process on; (code=exited, status=1/FAILURE)
Main PID: 21469 (code=exited, status=0/SUCCESS)

mars 06 21:33:10 Debianus nginx[22752]: nginx: [emerg] "location" directive is not allowed here in /etc/nginx/sites-enabled/rutorrent.conf:2
mars 06 21:33:10 Debianus nginx[22752]: nginx: configuration file /etc/nginx/nginx.conf test failed
mars 06 21:33:10 Debianus systemd[1]: nginx.service: control process exited, code=exited status=1
mars 06 21:33:10 Debianus systemd[1]: Failed to start A high performance web server and a reverse proxy server.
mars 06 21:33:10 Debianus systemd[1]: Unit nginx.service entered failed state.
root@Debianus:/etc/nginx#

Je pense avoir trouvé.

La clause "location" doit être englobée dans une clause "server" :
server {
location ...
}

Bonjour,

lorsque cela semble confus alors nous pouvons aussi nous servir de la commande : nginx -t dont le résultat sera plus clair. De plus, pour rappel, je remet ce schéma (ci-dessous) :

events
{
}
http
{
	upstream
	{
	}
	server
	{
		location
		{
		}
	}
}

Donc, c'est exacte @MajorBob car oui il y a un ordre à respecter. Afin de le voir (ou comprendre, etc), il faut se référer à ce schéma.

Répondre…