Интеграция ISPmanager с DDoS-Guard

Материал из ISPWiki
Перейти к: навигация, поиск


Модуль DDoS-GUARD реализован только для ISPmanager Lite.

Введение

Модуль DDoS-GUARD в ISPmanager защищает сайты от так называемого HTTP(S) флуда. Данный модуль позволяет подключить к DDoS-защите один или несколько доменов.

Официальный сайт DDoS-GUARD.

Страница модуля интеграции DDoS-GUARD на сайте ISPsystem.

Установка

Для установки плагина из-под учетной записи root пройдите в Интеграция->Модули.

Установка модуля интеграции производится по кнопке KernelCare install button detail.png. Если кнопка "Установить" не появилась, обновите страницу.

Использование

После установки модуль становится доступен для использования. Перейти на основную страницу модуля DDoS-GUARD можно, кликнув по:

  • Кнопке "Настроить" на странице покупки модулей.
  • Пункте меню Инструменты->DDoS-GUARD
  • Кнопке DDoS-GUARD в www-домене ( если лицензия уже куплена )


Описание внешнего вида

Основная страница модуля

Основная страница модуля DDoS-GUARD визуально делится на две части:

  • Панель кнопок
  • Список подключенных доменов и псевдонимов


Панель кнопок содержит:

  • T-new.png Кнопку "Добавить" - для подключения домена или/и псевдонима к защите
  • T-edit.png Кнопку "Изменить" - для изменения IP-адресов
  • T-delete.png Кнопку "Удалить" - для отключения домена/псевдонима от защиты
  • T-editlist.png Кнопку "Списки доступа" - управление черными/белыми списками
  • T-on.png Кнопку "Включить"
  • T-off.png Кнопку "Выключить"
  • T-attr.png Кнопку "Настройки" - доступно подключение авторешения и изменение правил брандмауэра


Список подключенных доменов содержит колонки:

  • Имя - Имя подключенного домена или псевдонима
  • Веб-домен - Имя домена, к которому принадлежит псевдоним
  • Владелец - Владелец веб-домена
  • Состояние - Отображается текущее состояние
  • IP-адрес - IP-адрес веб-домена
  • proxy-IP - IP-адрес веб-домена в сервисе DDoS-GUARD


Описание иконок состояний

Иконка Состояние Описание
Таблица с описанием иконок состояний
P-on.png Защита включена Включена защита. При наличии сервиса доменных имен меняются А-записи доменов на значение IP сервиса DDoS-GUARD
P-off.png Защита отключена Отключена защита. При наличии сервиса доменных имен меняются А-записи доменов на значение IP, указанных на странице веб-доменов
P-ddosguard-ok.png Нет проблем с модулем При работе модуля проверяется:
  • Наличие файлов настроек Apache для модулей(RPAF и Remote_IP)
  • Наличие файла настройки nginx
  • Наличие сервиса доменных имен
  • Наличие соответствующих записей в серверах имен
  • Наличие веб-домена
  • Наличие лицензии на веб-домен в сервисе DDoS-GUARD
P-ddosguard-err.png Обнаружены проблемы Показывается, если есть любая из проблем, описанная выше.
P-ddosguard.png Лицензия получена На веб-домен имеется лицензия
P-ddosguard-transparent.png Домен удален Показывается, если есть лицензия на веб-домен, который был удален из списка веб-доменов
P-ddosguard-set.png Ожидание Иконка показывается, если модуль ожидает получение/удаление лицензии
P-ddosguard-gray.png Лицензия удалена Показывается, если лицензия была удалена через биллинговую систему и имеются настройки на домен

Заказ лицензии DDoS-GUARD для домена

Чтобы заказать лицензию, нужно перейти на основную страницу модуля DDoS-GUARD и нажать кнопку "Добавить" T-new.png, или нажать кнопку "DDoS-GUARD" T-ddosguard.png на странице веб-доменов (если до этого лицензия не была заказана).
Заказ домена происходит в три этапа:

  • Этап проверки домена и его IP-адресов
    Этап 1
  • Этап проверки псевдонимов
    Этап 2
  • Завершение - на этом этапе происходит заказ лицензии в биллинге.
    Этап 3

Под псевдонимом домена подразумевается псевдоним, не являющийся поддоменом, например:

  • test.ru - домен
  • www.test.ru, wiki.test.ru, forum.test.ru - псевдонимы, которые являются поддоменами. На них распространяется защита, если их А-записи совпадают с основным доменом.
  • alias.ru, www.alias.ru - псевдонимы, которые не являются поддоменами. На них не распространяется защита, их необходимо подключать как отдельную услугу.

Если с момента последнего заказа с биллинговой системы прошло больше часа или заказ защиты происходит впервые, то будет предложено ввести учетные данные для работы в биллинговой системе.

Формы ввода пароля, если в лицензии есть пользователь
Формы ввода пароля, если в лицензии отсутствует пользователь

Внимание.
Оплачивается каждый домен и псевдоним. Поддомены домена входят в стоимость домена, при условии, что они ведут на один IP. Если у веб-домена существуют псевдонимы и они не подключены к сервису DDoS-GUARD, то на них не распространяется защита.

Изменение данных лицензии DDoS-GUARD

Для изменения доступны только IP-адреса. Для этого необходимо нажать на кнопку "Изменить" T-edit.png на основной странице модуля DDoS-GUARD. Изменение домена происходит в три этапа:

  • Этап проверки домена и его IP-адресов. Измененые на этом этапе IP-адреса отправляются на серверы DDoS-GUARD и применяются для веб-домена
    Этап 1
  • Этап проверки псевдонимов
    Этап 2
  • Завершение - на этом этапе происходит изменение лицензии в биллинге и веб-доменах.
    Этап 3

Удаление

Для удаления защиты веб-домена в сервисе DDoS-GUARD необходимо нажать на кнопку "Удалить" T-delete.png, при необходимости будет запрошены учетные данные для биллинговой системы (при этом, ввиду особенностей среды, для удаления защиты необходимо нажать кнопку "Удалить" повторно).

Включение/отключение от защиты DDoS-GUARD

При включении/отключении изменяются А-записи доменных имен, то есть данная возможность работает при условии, что есть сервис доменных имен.
Включение производится нажатием на кнопку "Включить" T-on.png
Отключение производится нажатием на кнопку "Отключить" T-off.png

Настройки

На форму настроек можно перейти нажатием на кнопку "Настройки" T-attr.png. На этой форме доступны следующие настройки:

  • Подключить защиту автоматически
  • Подключить защиту по IP


Страница настроек

При подключении автоматической защиты следующие настройки применяются автоматически :

  • Создание настроек для nginx и Apache.
    • Создается файл ddosguard_remoteip.conf в директории Apache, сконфигурированной для файлов включений, например /etc/apache2/conf.d, со следующим содержанием:
      <IfModule remoteip>
          RemoteIPHeader X-Real-IP
          RemoteIPInternalProxy 127.0.0.1 186.2.160.0/24
      </IfModule>
    • Создается файл ddosguard_rpaf.conf в директории Apache, сконфигурированной для файлов включений, например /etc/apache2/conf.d, со следующим содержанием:
      <IfModule rpaf>
          RPAFenable On
          RPAFsethostname On
          RPAFprotected_ips 186.2.160.0/24
          RPAFheader X-Real-Ip
      </IfModule>
    • Создается файл ddosguard_remote.conf в директории nginx, сконфигурированной для файлов включений, например /etc/nginx/vhosts-includes, со следующим содержанием:
      set_real_ip_from 186.2.160.0/24;
  • При подключенном сервере имен, автоматическое изменение А-записей.

При подключении защиты по IP правилами брандмауэра запрещаются любые подключения по 80 и 443 портам, кроме подключений через сервис DDoS-GUARD.

Списки доступа

Список черных/белых правил для управления сервисом DDoS-GUARD позволяет блокировать/разрешать доступ с определенных IP-адресов или подсетей.

Внешний вид списка доступа


Список доступа содержит колонки:

  • IP-адреса - IP-адрес или подсеть
  • Дата добавления - Дата и время создания/изменения адреса
  • Тип правила - Тип правила - блокировать или разрешать
  • Причины - Любой текст для пояснения не более 255 символов, может быть пустым.

Создание правила

Для создания правила необходимо нажать на кнопку "Добавить" T-new.png. На открывшейся странице можно выбрать тип правила и написать пояснение к правилу. IP-адреса или подсеть вводят через запятую, при этом маска подсети не должна быть меньше 24. Примеры верного ввода адреса или подсети:

  • 8.8.8.8
  • 8.8.8.8/32
  • 4.4.4.4/24
  • 10.0.0.1, 20.20.20.20/32, 3.30.30.30/24
Страница добавления/изменения правила

Изменение правила

Для изменения правила необходимо нажать на кнопку "Изменить" T-edit.png. При изменении правила возможно поменять тип и причину добавления, само правило (IP/подсеть) недоступно для редактирования.

Удаление правила

Для удаления правила необходимо нажать на кнопку "Удалить" T-delete.png.

Описание ошибок при работе модуля

Попасть на страницу описания проблем можно, нажав на значок ошибки P-ddosguard-err.png в списке веб-доменов или основной странице модуля DDoS-GUARD. Наличие ошибок проверяется каждые 5 минут, действие ddosguardcheck запускается в cron. Действие ddosguard.dig для проверки А-записи веб-домена на серверах имен запускается каждые 6 минут через механизм API - periodic.

Страница описания проблем
Тип ошибки Ошибка Описание и возможные пути решения
Таблица с описанием ошибок пр работе модуля DDoS-GUARD
Лицензия Отсутствует лицензия на домен. Лицензия не обновлена или была удалена через биллинговую систему. Удалить запись, восстановить настройки DNS или заказать лицензию заново
Имя домена Домен или псевдоним отсутствует на сервере, по кнопке "Решить" лицензия DDoS-GUARD будет удалена. Домен или псевдоним был удален, при этом осталась лицензия.
IP IP в лицензии и списке веб-доменов не совпадают При нажатии на кнопку "Решить" T-aid.png IP-адреса синхронизируются с биллинговой системой и сервисом DDoS-GUARD. Изменения будут применены в течении часа.
DNS Отсутствует запись в DNS для домена. Добавьте запись. В записях DNS отсутствует запись со значением, указанным в лицензии. Необходимо добавить А-запись с именем www-домена, указанным в лицензии.
DNS IP в лицензии и DNS записях не совпадают Автоматически изменяет А-записи доменных имен по нажатию на кнопку "Решить" T-aid.png или при включенной опции "Подключить защиту автоматически".
DNS IP в лицензии и на серверах имен не совпадают Проверка утилитой dig, существует ли такая запись на серверах имен. Если после часа ожидания эта ошибка не решилась автоматически, поменяйте А-записи на сервере имен.
DNS Домен не делегирован. Проверка утилитой dig, домен не делегирован.
DNS Отсутствует модуль управления DNS записями. Внесите изменения в DNS-записи. Необходимо внести правки в А-записи на сервере имен вручную, так как отсутствует возможность автоматического управления доменными именами.
Настройки конфигурации Отсутствует файл лицензии для модуля Apache Remote_IP. Нет прав для записи в директории Apache.
Настройки конфигурации Отсутствует файл лицензии для модуля Apache RPAF. Нет прав для записи в директории Apache.
Настройки конфигурации Отсутствует файл лицензии для модуля nignx remote_ip Нет прав для записи в директории nginx.