Dieser Artikel behandelt die DNS- und Ziel-IP-Adresseinstellungen speziell für das WEDOS-Schutzsystem. Anweisungen zum Einrichten von WEDOS DNS finden Sie in den Anleitungen Domains - DNS Servers (NSSET) ⧉ und DNS - Domain Records ⧉.
In diesem Artikel erfahren Sie mehr:
- Wie DNS mit dem WEDOS-Schutzsystem funktioniert
- Einrichten von Domain-DNS
- Festlegen von Ziel-IPs im WEDOS-Schutz
- Fehlersuche bei allgemeinen Problemen
- Häufig gestellte Fragen
WEDOS-Schutz und DNS
Wenn Ihre Domäne nicht den WEDOS-Schutz oder ein ähnliches System verwendet, funktioniert DNS gemäß der folgenden Tabelle:
Die grundlegende Funktion eines DNS-Servers besteht darin, für Menschen verständliche Informationen (Domänennamen) in für Computer verständliche Informationen (hauptsächlich IP-Adressen) zu übersetzen. Bei einer solchen Abfrage spielt es keine Rolle, ob die Frage von einem echten Benutzer, einem Angreifer oder einem Roboter gestellt wird - die Daten auf dem DNS-Server sind für alle verfügbar.
Die grundlegende Funktion der WEDOS Protection (WGP) Proxy-Server besteht darin, aus Sicht des DNS den Platz des Webservers einzunehmen, die Anfrage des Kunden zu bewerten und erst nach der Entscheidung über die Legitimität einer solchen Anfrage den Webserver zu kontaktieren und Inhalte abzurufen.
Aus der Sicht des DNS-Servers tritt ein Proxy an die Stelle des Webservers. Was sich dahinter verbirgt, interessiert den DNS-Server nicht mehr, so dass der Proxy-Server die Verantwortung für den Rest der Kommunikation übernimmt.
- Der DNS-Server enthält die IP-Adressen des Proxy-Servers. Wenn wir wollen, dass das WEDOS-Schutzsystem den Webserver vor unerwünschtem Datenverkehr schützt, teilen wir dem DNS-Server die Proxy-Adresse mit und keine anderen.
- Der Proxyserver enthält die Ziel-IP-Adressen des Webservers. Der Proxyserver muss wissen, woher er die Daten der Website beziehen soll. Er enthält eine Tabelle der Ziel-IP-Adressen des Webservers, die er für die weitere Kommunikation verwendet.
DNS-Domäneneinträge
Damit der WEDOS-Schutz optimal funktioniert, empfehlen wir die Verwendung von WEDOS DNS-Servern (NSSET) ⧉. Wenn Sie die DNS-Server eines anderen Anbieters verwenden möchten, machen Sie sich bitte auch mit dem Artikel Schutz - DNS-Anbieter von Drittanbietern vertraut.
Damit der Schutz korrekt funktioniert, leiten Sie die Domäne ausschließlich an den Proxyserver weiter. Sie können die Adressen der Proxyserver wie folgt ermitteln:
- Loggen Sie sich in das WEDOS Global Administrationspanel ⧉ ein.
- Wählen Sie auf der Startseite die Domäne aus, für die Sie die Adressen der Proxyserver suchen möchten.
- IPv4- und IPv6-Adressen finden Sie im Abschnitt IP-Adressen Ihres Proxys.
Tragen Sie diese Adressen in die DNS-Einträge der Domäne gemäß den Anweisungen Ihres Providers ein und verwenden Sie dabei die folgende Vorlage:
Name TTL Typ Daten
300 A (Proxy-Server 1 IPv4-Adresse)
* 300 A (Proxy-Server 1 IPv4-Adresse)
300 A (Proxy-Server 2 IPv4-Adresse)
* 300 A (Proxy-Server 2 IPv4-Adresse)
300 AAAA (Proxy-Server 1 IPv6-Adresse)
* 300 AAAA (Proxy-Server 1 IPv6-Adresse)
300 AAAA (Proxy-Server 2 IPv6-Adresse)
* 300 AAAA (Proxy-Server 2 IPv6-Adresse)
Löschen Sie andere DNS-Einträge vom Typ A und AAAA ohne Namen oder mit dem Namen *, da diese wahrscheinlich auf den Webserver verweisen und den Schutzproxy umgehen. Wir empfehlen, auch alle Einträge für die Subdomäne www zu löschen. Lassen Sie Einträge mit anderen Namen oder Typen unverändert.
Ziel-IPs
Der WEDOS-Schutz-Proxy-Server verwendet Ziel-IPs für den Zugriff auf den Webserver. Die Ersteinrichtung wird normalerweise automatisch vorgenommen. Wenn Sie sie überprüfen oder ändern müssen, folgen Sie diesen Schritten:
- Loggen Sie sich in das WEDOS Global Administrationspanel ⧉ ein.
- Wählen Sie auf der Startseite die Domäne aus, für die Sie die Ziel-IPs überprüfen möchten.
- Klicken Sie im linken Menü auf Ziel-IPs für die Hauptdomain oder Subdomains für eine Subdomain.
In dieser Schnittstelle können Sie klicken:
- die Schaltfläche IP hinzufügen in der Kopfzeile der Liste, um eine neue Webserveradresse hinzuzufügen;
- das Stiftsymbol auf der rechten Seite, um die IP-Adresse oder ihren Gewichtsparameter zu bearbeiten;
- das Mülleimer-Symbol auf der rechten Seite, um die IP-Adresse zu löschen.
Solange Subdomains auf demselben Server wie die zugehörige Domain laufen, müssen Sie deren Ziel-IPs nicht separat eingeben.
Der Proxyserver benötigt mindestens eine IP-Adresse, die an den Webserver der Domäne gerichtet ist, um ordnungsgemäß zu funktionieren.
Fehlersuche bei allgemeinen Problemen
Zu den häufigen Problemen bei der Einrichtung von DNS/Ziel-IPs in WEDOS Global gehören:
- DNS funktioniert nach manuellen Einstellungen nicht mehr
- Unbekannte Webserver-IP
- Unbekannte Client-IP
Defekte DNS
Problem: Nach dem Einstellen von globalen Einträgen in WEDOS DNS und dem Löschen aller anderen Einträge funktionierten E-Mails nicht mehr, oder andere DNS-Funktionen waren gestört.
Ursache: Obwohl das Global-System bei einem DNS-Scan alle für eine Domäne gefundenen Einträge auflistet, kann es nur IP-Adressen verwenden, die in Einträgen vom Typ A und AAAA aufgeführt sind und keinen Namen (für die Hauptdomäne) oder den Namen * (alle nicht spezifizierten Subdomänen) haben.
Lösung: Überprüfen Sie den DNS-Änderungsverlauf ⧉ auf gelöschte Einträge, die nicht Global verwenden. Dazu gehören:
- Einträge anderer Typen als A und AAAA (insbesondere MX, CNAME, TXT).
- Einträge vom Typ A und AAAA, die einen anderen Namen als * haben.
Stellen Sie diese Einträge wieder her, indem Sie sie zu DNS ⧉ hinzufügen.
Unbekannte Webserver-IP
Problem: Ich kenne die IP-Adresse des Webservers nicht, weiß also nicht, ob sie in Global richtig eingestellt ist.
Lösung: Wenn Sie Ihr Web bei uns hosten, können Sie die IP-Adresse herausfinden, indem Sie die Anweisungen für die Einrichtung von Typ-A-Einträgen ⧉ befolgen, wo Sie sie auch verwenden. Bei anderen Anbietern befolgen Sie deren Anweisungen oder wenden Sie sich an deren Support.
Protokollierung von Client-IPs
Problem: Wir müssen die IP-Adressen der Clients protokollieren, die auf unseren Webserver zugreifen, aber das System protokolliert stattdessen die IP-Adressen der WEDOS Global Server.
Die Ursache: Wir leiten echte Client-IP-Adressen weiter, aber Ihr Webserver verarbeitet sie wahrscheinlich nicht richtig.
Lösung: Verwenden Sie diesen Link ⧉ (.json, klicken Sie hier ⧉ für .txt), um Unicast-Bereiche zu finden, die WEDOS Global für die Kommunikation mit Ziel-Webservern verwendet. Die Liste wird täglich aktualisiert.
- Wenn Sie NGINX auf dem Zielserver, setzen Sie die
set_real_ip_fromParameter mit den oben genannten Bereichen. Weitere Informationen finden Sie unter NGINX-Dokumente ⧉. - Für Apachestellen Sie zunächst sicher, dass
mod_remoteipaktiv ist (für weitere Informationen, siehe Apache-Dokumente ⧉). Konfigurieren Sie dann die oben genannten IPs:
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy # IP oder Bereich aus Datei hinzufügen
- Für LiteSpeed (inkl. OpenLiteSpeed), gehen Sie zu WebAdmin Konfiguration Server Allgemein. Setzen Sie anschließend die Option Client-IP im Header verwenden auf Nur vertrauenswürdige IP. Fügen Sie die IPs und Bereiche aus der obigen Datei in die Liste der vertrauenswürdigen IPs ein. Weitere Informationen finden Sie im LiteSpeed-Wiki ⧉ oder in den OpenLiteSpeed-Dokumenten ⧉.
Jetzt sollte Ihr Server mit echten IPs arbeiten können.
FAQ
Als ich das WGP-WordPress-Plugin installierte, erhielt ich nur vier IPv4-Adressen und keine IPv6. Ist das richtig?
Das Plugin enthält nur minimale Einstellungen. Der Dienst ist mit IPv4-Adressen voll funktionsfähig, aber wenn Sie auch IPv6 einrichten können, sollten Sie das tun. Sie können ihre Werte gemäß den Anweisungen im Kapitel DNS-Domäneneinträge finden, auch für Domänen, die über das Plugin hinzugefügt wurden.