W tym artykule dowiesz się:
- W jaki sposób WGP wpływa na ruch kierowany do serwera źródłowego
- Jak zezwolić na adresy IP WGP na serwerze źródłowym
- Przykłady konfiguracji zapory sieciowej
- Dlaczego warto zablokować cały pozostały ruch
- Jak sprawdzić swoją konfigurację
- Jak aktualizować listę adresów IP
- Często zadawane pytania
Ruch kierowany do serwera źródłowego
Gdy Twoja domena jest chroniona przez WEDOS Protection (WGP), cały ruch internetowy jest kierowany przez naszą sieć proxy, zanim dotrze do Twojego serwera źródłowego. Z tego powodu Twój serwer źródłowy inaczej postrzega przychodzący ruch:
- Prawdziwych adresów IP odwiedzających nie widać bezpośrednio. Zamiast tego cały ruch wygląda tak, jakby pochodził z adresów IP WEDOS Global.
- Duża liczba żądań pochodzi z niewielkiej liczby adresów IP. Narzędzia zabezpieczające (zapory sieciowe, zabezpieczenia hostingu, wtyczki) mogą:
- Zablokuj te adresy IP
- Zastosuj limity częstotliwości
- Oznacz je jako podejrzane
Jeśli Twój serwer źródłowy z jakiegokolwiek powodu zablokuje adresy IP WEDOS Global, Twoja strona internetowa stanie się niedostępna dla wszystkich odwiedzających.
Zezwól na adresy IP WEDOS Global
Aby zapewnić prawidłowe działanie Twojej strony internetowej, pamiętaj, aby na serwerze źródłowym zawsze zezwalać na ruch z zakresów adresów IP WEDOS Global.
Pełną listę można znaleźć tutaj:
Zazwyczaj można to skonfigurować w:
- Plik .htaccess Twojej witryny
- Zapora sieciowa serwera (iptables, ufw, firewalld)
- Konfiguracja serwera WWW (Apache, Nginx)
- Zapora w chmurze (grupy zabezpieczeń AWS itp.)
Przykładowe konfiguracje zapory sieciowej
Poniższe przykłady pokazują, jak zezwolić na ruch przychodzący na portach 80 i 443 wyłącznie z zakresów adresów IP serwisu WEDOS.global. Stanowią one punkt wyjścia i należy je dostosować do konkretnego środowiska, konfiguracji oraz istniejących reguł zapory sieciowej. We wszystkich przykładach należy zastąpić podane zakresy adresów IP aktualnymi danymi zwitryn https://ips.wedos.global/ips.json lub https://ips.wedos.global/ips.txt.
iptables
# Zezwól na ruch na portach 80 i 443 z zakresów adresów IP serwisu WEDOS.global
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 1.2.3.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 80,443 -s 5.6.7.0/24 -j ACCEPT
# Odrzuć cały pozostały ruch na portach 80 i 443
iptables -A INPUT -p tcp -m multiport --dports 80,443 -j DROP
W przypadku protokołu IPv6 należy użyćip6tableswraz z odpowiednimi zakresami adresów IPv6 z listy adresów IP.
nftables
table inet filter {
set wedos_ips_v4 {
type ipv4_addr
flags interval
elements = { 1.2.3.0/24, 5.6.7.0/24 }
}
set wedos_ips_v6 {
type ipv6_addr
flags interval
elements = { 2a02:2b88::/32 }
}
chain input {
type filter hook input priority 0; policy drop;
tcp dport { 80, 443 } ip saddr @wedos_ips_v4 accept
tcp dport { 80, 443 } ip6 saddr @wedos_ips_v6 accept
}
}
Zablokuj bezpośredni dostęp do swojego serwera źródłowego
Aby zapewnić maksymalne bezpieczeństwo, należy również zablokować cały pozostały ruch przychodzący do serwera WWW. Wynika to z faktu, że jeśli adres IP serwera źródłowego zostanie ujawniony na podstawie historycznych zapisów DNS, nagłówków wiadomości e-mail, bezpośredniego skanowania lub innych metod, osoba atakująca może kierować ruch bezpośrednio na serwer, omijając WGP oraz jego funkcje WAF, ograniczania przepustowości i ochrony przed atakami DDoS.
Dlatego zaleca się:
- Zezwól wyłącznie na zakresy adresów IP WEDOS Global oraz własne zaufane adresy IP (np. dostęp administratora, narzędzia monitorujące)
- Zablokuj cały pozostały ruch na portach 80 (HTTP) i 443 (HTTPS)
Sprawdź konfigurację
Po zastosowaniu ograniczeń adresów IP sprawdź, czy serwer źródłowy jest odpowiednio zabezpieczony:
- Wejdź na stronę internetową, korzystając z jej domeny publicznej. Strona powinna załadować się normalnie, ponieważ ruch jest przekierowywany przez serwer proxy WGP.
- Spróbuj połączyć się bezpośrednio z adresem IP serwera źródłowego z sieci zewnętrznej. Połączenie powinno zostać odrzucone lub zakończyć się przekroczeniem limitu czasu.
- Sprawdź logi serwera źródłowego, aby upewnić się, że przychodzące żądania pochodzą wyłącznie z zakresów adresów IP serwisu WEDOS.global.
Jeśli bezpośrednie połączenia z serwerem źródłowym nadal przebiegają pomyślnie, sprawdź konfigurację zapory sieciowej i serwera WWW, aby upewnić się, że lista adresów IP WEDOS.global została poprawnie zastosowana i nie ma żadnych sprzecznych reguł.
Dbaj o aktualność listy dozwolonych adresów IP
Lista adresów IP serwisu WEDOS.global może być rozszerzana w miarę dodawania nowych węzłów proxy do sieci Anycast. Aby uniknąć zakłóceń w działaniu usługi, konfigurację serwera źródłowego należy na bieżąco aktualizować zgodnie z oficjalną listą.
Zalecanym rozwiązaniem jest skonfigurowanie automatycznego procesu aktualizacji, który:
- Co dzień pobiera najnowszy plik ips.json lub ips.txt raz lub dwa razy.
- Odpowiednio zaktualizuj listę dozwolonych adresów w zaporze sieciowej lub na serwerze WWW.
- Ponownie uruchamia odpowiednią usługę, aby wprowadzić zmiany bez przestoju.
Ręczne aktualizacje są możliwe, ale wiążą się z ryzykiem stosowania nieaktualnych konfiguracji, co może skutkować blokowaniem prawidłowego ruchu proxy.
FAQ
Korzystam z hostingu współdzielonego, więc nie mogę samodzielnie skonfigurować reguł zapory sieciowej. Co mam zrobić?
Nawet w przypadku hostingu współdzielonego często można samodzielnie dostosować wtyczki zabezpieczające, takie jak wtyczki zapory sieciowej dla WordPressa.
Jeśli adresy IP WEDOS Global są blokowane przez system zabezpieczeń Twojego dostawcy usług hostingowych, skontaktuj się z jego działem pomocy technicznej i poproś o dodanie adresów IP WEDOS Global do białej listy.