Как защитить VPS от DDoS-атак с помощью Cloudflare и iptables

Содержание

Перед вами инструкция по интеграции Cloudflare и настройке iptables для минимизации риска атак.

DDoS-атака (Distributed Denial of Service) — это перегрузка сервера или сайта массовыми запросами с разных устройств. В результате ресурс становится недоступен: страницы не загружаются, система не отвечает. Подобное может произойти даже с небольшим проектом — без предупреждения и видимой причины.

VPS (виртуальный сервер) по сути представляет собой отдельный компьютер в интернете. На нём обычно размещаются сайт, почта, базы данных и другие ресурсы. Один мощный цифровой удар способен нарушить работу всей этой структуры.

Базовая защита снижает риски, даже при полном отсутствии технической подготовки. Даже без технической подготовки можно подключить Cloudflare и настроить фильтрацию трафика через iptables, чтобы снизить риски DDoS-атак. Разбираем что именно делать, зачем это нужно и как всё работает на практике.

Аренда VPS/VDS от 219 руб/месяц

Преимущества VPS в AdminVPS:

✓ Бесплатное администрирование

✓ Только быстрые NVMe-диски

✓ Защита от DDoS-атак

✓ Быстрая техподдержка

Аренда VPS/VDS виртуального сервера от AdminVPS — это прозрачная и честная услуга с доступной ценой

Подключаем Cloudflare

Cloudflare — бесплатный сервис, фильтрующий трафик и защищающий сайт от перегрузки и сетевых атак. Он скрывает настоящий IP-адрес сервера и отсекает подозрительные запросы. Представьте, что Cloudflare — это фильтр между вашим сайтом и всеми, кто на него заходит. Только «чистый» трафик доходит до сервера, остальное — блокируется.

Чтобы подключить Cloudflare, нужно выполнить несколько простых действий.

Создание аккаунта. Откройте сайт Cloudflare. Нажмите кнопку Sign Up (в правом верхнем углу). Введите адрес электронной почты и придумайте пароль. Нажмите Create Account.

Указание сайта в Cloudflare. По завершении регистрации появится поле Add a Site — вставьте туда адрес своей страницы, например example.com. Кликните Add Site. Выберите бесплатный тариф (Free Plan) → Continue.

Проверка DNS-записей. Cloudflare автоматически определит DNS-записи. Если вы не уверены в настройках, нажмите Continue — их всегда можно скорректировать позже. Всё можно будет настроить позже.

Изменение NS-записей. Теперь Cloudflare покажет два адреса — это NS-записи (Name Servers). Они нужны, чтобы ваш домен «смотрел» на Cloudflare.

Перейдите в личный кабинет компании, у которой вы зарегистрировали домен. Найдите настройки домена — раздел с названием «DNS» или «Name Servers». Замените старые NS-записи на те, что выдал Cloudflare. Далее → Сохранить.

После замены NS-записей нужно подождать от 30 минут до 24 часов. Когда изменения вступят в силу, Cloudflare подключится к вашему сайту.

Включаем базовую защиту от атак в Cloudflare

Домен подключён. Откройте в Cloudflare раздел Security → Settings (в верхнем меню или сбоку, в зависимости от интерфейса).

Дальше в разделе Security Level выберите значение High — это усилит фильтрацию трафика и отсеет большинство подозрительных запросов.

Если сайт уже подвергается атаке (например, внезапно перестал открываться или стал тормозить), включите режим «I'm Under Attack». Он временно добавит дополнительную проверку для всех посетителей — они увидят страницу с надписью «Проверка безопасности» перед загрузкой сайта. Никакие дополнительные скрипты вручную вставлять не нужно — Cloudflare сам добавляет защитный JavaScript-чек в режиме «I'm Under Attack». Достаточно включить этот режим в настройках.

Ниже найдите раздел Rate Limiting. Эта функция ограничивает число обращений от одного пользователя (точнее, IP-адреса). Включите её, чтобы защититься от скриптов, которые перегружают сайт множественными запросами.

Cloudflare будет автоматически фильтровать подозрительные подключения, в том числе ботов и вредоносные сканеры.

Разрешаем доступ только для Cloudflare

Cloudflare защищает сервер, но только если все запросы проходят через него. Чтобы никто не смог атаковать VPS напрямую, нужно разрешить подключения только от IP-адресов Cloudflare, а всё остальное — заблокировать.

Для этого используем инструмент iptables. Это встроенная в Linux утилита, которая управляет входящими и исходящими сетевыми соединениями. Она позволяет чётко определить, с каких адресов и по каким протоколам можно обращаться к серверу, а какие подключения нужно немедленно блокировать. Иначе говоря, iptables работает как фильтр: пропускает только разрешённые подключения, а остальные блокирует.

Подключитесь к серверу через SSH. Если вы арендуете VPS, вам должны были выдать IP-адрес, логин (обычно root) и пароль.

Для подключения используйте:

на Windows: программу PuTTY;
на Mac или Linux: встроенный Терминал (команда будет выглядеть как ssh root@ваш_IP).

Откройте сайт с адресами Cloudflare. Там будут списки IP-адресов. Вам нужны те, что под заголовком IPv4.

Скопируйте адреса по одному и вставьте их в команды iptables. В окне SSH (в терминале), поочерёдно вводите команды вроде этой:

sudo iptables -A INPUT -p tcp -s 173.245.48.0/20 -j ACCEPT

Заменяйте 173.245.48.0/20 на каждый IP из списка Cloudflare. Таким способом разрешается подключение только с этих адресов.

Не забудьте про доступ для себя. Добавьте разрешение на подключение по SSH:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Заблокируйте все остальные подключения:

sudo iptables -A INPUT -j DROP

Теперь сервер будет принимать запросы только от Cloudflare и от вас по SSH. Остальных — блокировать.

Сохраняем настройки, чтобы они не сбросились после перезагрузки.

Если у вас Ubuntu или Debian:

sudo apt install iptables-persistent sudo netfilter-persistent save

Если CentOS:

sudo service iptables save

Проверка: скрыт ли настоящий IP-адрес

Важно проверить, что настоящий IP-адрес VPS не отображается в DNS-записях. Иначе Cloudflare не сможет защитить сервер от прямых атак.

Перейдите на сайт cloudflare.com и авторизуйтесь в личном кабинете. В списке проектов выберите нужный домен.

Перейдите во вкладку «DNS» — она находится в верхнем меню после входа в проект.

Проверьте записи типа A — это IPv4, AAAA — IPv6. Именно в них указывается IP-адрес сервера. Если рядом с записью отображается оранжевое облако, значит Cloudflare фильтрует трафик — это означает активную защиту. Значит, Cloudflare скрывает IP. Если облако серое — нажмите на него. Цвет сменится на оранжевый — теперь трафик к сайту будет идти через Cloudflare, а не напрямую.

Важно: не оставляйте открытых записей с настоящим IP — даже одной достаточно, чтобы атакующий узнал адрес VPS. Если нужно подключаться по FTP или другим протоколам, лучше использовать поддомены и закрывать их отдельно.

Если при активном Cloudflare и настроенных iptables сервер продолжает работать нестабильно, проверьте логи ― журнал событий (например, через команду dmesg или tail /var/log/syslog). Возможно, атака идёт на порты, которые остались открытыми. И убедитесь, что все записи DNS проходят через Cloudflare (оранжевое облако).

Теперь защита через Cloudflare активна, а IP-адрес VPS надёжно скрыт от внешнего мира.

Читайте в блоге: