Вам вместе можно шапито открывать.
Вы не думали никогда, почему есть сервисы, которые предоставляют конкретно защиту от ДДОС? Сервисы и услуги, которые предоставляют расширенный, распределенный канал, который может выдерживать тысячи ТБ/С? Почему бы просто в файрволе всё не запретить? Это же дешевле, нет? Подумайте, почему так. Дело не в маркетинге.
А вы не думали какие атаки в 99% случаев и какой мощности у обычных сайтов. Если почти всегда помогает даже фри тариф CF.
Вот и проверяйте. Допустим даже если я не прав (а такое тоже может быть , хотя и в этом случае вряд ли), то делать так никто не будет. А если и попробует, то быстро от этой идеи откажется, когда не сможет зайти на свой же сервер (пусть даже не сразу).
Когда что-то не знаете не нужно вводить других в заблуждение и фантазировать. Не пишите полную чушь.
Я? Нет. Я законы не нарушаю. Это не законно.
Зачем прикидываться - идёт речь о защите своего сервера, проверять со стороны защиты. Кто вам сказал, что будет забит канал если добавить все айпи кроме вайтлиста в блок?
Трафф в ++ идет, за вооообще всё время (сейчас посмотрел) ~1.2к (это с 1 сайта)
В самой телеге просмотры так же растут на 2 первоначальных сообщения в геометрической прогрессии.
Начинается... Где аргументы? Я детально разъясняю что есть что, а вместо конструктивной критики приходится читать подобные отмашки? Да вы напишите какой-то аргумент из той же документации. Зачем отправлять читать документацию какую-то неизвестную? Вы даже не сказали какую.
Во первых, это никак не защитит от ддоса. Пакеты будут в любом случае обрабатываться файрволом - это раз. А два - для злоумышленника будет только задача, как загрузить канал, чтобы что-то отвалилось вперед. Либо канал будет забит достаточно, либо файрвол нагрузит систему.
Во вторых, это только создаст проблемы с администрированием. Если всё запретить, кроме CF, то как потом сервер администрировать? Ок, можно, добавить и свой айпишник в исключения, но не всех он статический, а если и статический, то может поменяться или возникнуть необходимость доступа из другого места. Короче, это просто создание проблем себе же.
Вот и получается в итоге, что проще и эффективнее сменить айпишник сервера.
Ну то есть вы пишете что я говорю глупости и даже не понимаете базовых вещей. На будущее сначала читайте документацию.
Пока что только 2 раза - сейчас ещё подготавливается 4 сайта по такой схеме, которым 2 дня. Возможно буду масштабировать.
Так и знал, что кто-то напишет эту чушь...
Что мешает подосить айпишник ICMP пакетами (или любыми другими) и посмотреть нормально ли доступен сайт?
Что мешает вам запретить доступ фаерволом всем ip, кроме cloudflare.com/ips/?
