ask - Blok IP di kloxo MR / lxguard

[menyo]

Malam pak, saya mau tanya. Bagaimana memblokir IP lewat kloxo MR?
dengar fungsi LX guard mirip dengan CSF. Nah di csf kan ada tuh blokir IP agar tak mengakses server kiita.
Sepertinya saya mengalami lagi load dari satu IP yang cukup lumayan. meski tak besar namun cukup mengganggu juga sih pak.

Saya ingin blokir IP tersebut tidak hanya dari kloxo MR panel namun juga agar tidak mengakses web client agar tak membuat load server semakin besar.
Mohon pencerahannya pak?

salam.

[MRatWork]

LxGuard memonitor login ssh dan ftp. Jika gagal berturut-turut sampai 20 x (default) maka otomatis di-block.

[menyo]

o saya pikir bisa batasin request per ip per second pak kaya CSF
Soalnya sekilas sih, dulu liat di csf ada settingan kaya begitu

Saya pake nginx proxy kloxo MR 6.5f
kalau mau buat blokir IP atau syukur2 bisa buat batasin request per IP, di kloxo MR bisa tidak ya pak?
atau harus lewat settingan centos bagian mana ya pak?

terimakasih pak
Salam.

[MRatWork]

Jika yang anda maksud request ke http maka nginx sudah ada pembatasan (untuk mengangkal DDOS).

[menyo]

Nah bisa tidak pak disetting lewat nginx request/s tersebut?

meskipun tidak membuat down tapi cukup mengganggu.

Kira2 file apa yang harus di edit untuk setting ddos di nginx ini? syukur dikasih dikit keterangan pak. hehe
lalu yang kedua untuk blok IP itu langsung lewat centos nya ya pak?

trimakasih pak
salam

[MRatWork]

Copy '/opt/configs/nginx/etc/conf.d/~lxcenter.conf' (Kloxo-MR 7) atau '/home/nginx/etc/conf.d/~lxcenter.conf' (Kloxo-MR 6.5.0) ke 'custom.~lxcenter.conf'.

Kemudian modifikasi file custom tersebut (baca http://community.cloud66.com/articles/nginx-allow-and-deny-by-ip). Setelah itu, jalankan 'sh /script/fixweb; sh script/restart-web' (Kloxo-MR 7) atau 'sh /script/cleanup' (Kloxo-MR 6.5.0). Langkah ini bisa diringkas dengan copy custom tersebut ke /etc/nginx/conf.d/~lxcenter.conf dan kemudian 'sh /script/restart-web'.

[menyo]

Copy '/opt/configs/nginx/etc/conf.d/~lxcenter.conf' (Kloxo-MR 7) atau '/home/nginx/etc/conf.d/~lxcenter.conf' (Kloxo-MR 6.5.0) ke 'custom.~lxcenter.conf'.

Kemudian modifikasi file custom tersebut (baca http://community.cloud66.com/articles/nginx-allow-and-deny-by-ip). Setelah itu, jalankan 'sh /script/fixweb; sh script/restart-web' (Kloxo-MR 7) atau 'sh /script/cleanup' (Kloxo-MR 6.5.0). Langkah ini bisa diringkas dengan copy custom tersebut ke /etc/nginx/conf.d/~lxcenter.conf dan kemudian 'sh /script/restart-web'.

saya dah buat blockips.conf dan saya include ke custom
namun IP xxx.xxx.123.200 masih masih bisa mengakses nampaknya.

saya cek netstat -ntu | awk '{print $5}' | tail --lines=+3 | cut -s -d: -f1 | sort | uniq -c | sort -n -b -r

IP tersebut masih eksis pak.
Apa ada hal lain yang perlu diilakukan?
terimakasih

[MRatWork]

Coba saja lihat isi  /etc/nginx/conf.d/~lxcenter.conf apa suda sesuai.

[menyo]

Coba saja lihat isi  /etc/nginx/conf.d/~lxcenter.conf apa suda sesuai.

yang saya tambahkan hanya include /home/nginx/etc/conf.d/blockips.conf;
dan isi file itu hanya "deny 222.123.121.200;"

ini pak custom lxcenter.conf

Code: [Select]

    include /home/nginx/etc/conf.d/blockips.conf;
    include /etc/nginx/mime.types;

    default_type application/octet-stream;

    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
        '$status $body_bytes_sent "$http_referer" '
        '"$http_user_agent" "$http_x_forwarded_for"';

#   access_log /var/log/nginx/access.log main;

    error_log /var/log/nginx/error.log warn;

    ### MR - must be using nginx-special (including ngx_http_log_request_speed)
## just enough remove # below for enable; only request > 5000 miliseconds write to error.log
    #log_request_speed_filter on;
    #log_request_speed_filter_timeout 5000;

    gzip            on;
    gzip_static     on;
    gzip_min_length 1024;
    gzip_comp_level 4;
    gzip_proxied    any;

    gzip_types text/plain
           text/css
           application/x-javascript
           text/xml
           application/xml
           application/xml+rss
           text/javascript;

    keepalive_timeout 180;

    limit_conn_zone $binary_remote_addr zone=addr:10m;

    proxy_cache_path /var/cache/nginx-proxy levels=1:2 keys_zone=pcache:8m max_size=1000m inactive=600m;
    proxy_temp_path /tmp/nginx 1 2;

    fastcgi_cache_path /var/cache/nginx-fastcgi levels=1:2 keys_zone=fcache:8m max_size=1000m inactive=600m;
    fastcgi_temp_path /tmp/nginx 1 2;

    include /home/nginx/conf/defaults/*.conf;
    include /home/nginx/conf/domains/*.conf;
    include /home/nginx/conf/webmails/*.conf;


[MRatWork]

Delete custom.~lxcenter.conf and letakkan blockips.conf di /etc/nginx/conf.d

[menyo]

masih bisa akses pak ip nya
Maaf pak ya kalau saya mungkin agaj sok tau hehe
tadi googling nemu yang dirubah itu file nginx.conf
apa mungkin itu ya pak? apa file nginx.conf hanya untuk nginx murni saja?

nah ini penelusuran saya mencari nginx.conf

./home/nginx/etc/conf/nginx.conf
./etc/nginx/nginx.conf
./usr/local/lxlabs/kloxo/init/nginx.conf
./usr/local/lxlabs/kloxo/file/nginx/etc/conf/nginx.conf

mana yang dirubah ya pak, kalau memang nginx conf yang dirubah

terimakasih pak
salam

[MRatWork]

Tidak begitu. Nginx sendiri ketika running akan membaca file yang ada di /etc/nginx/ dan /etc/nginx/conf.d (sesuai setting service di /etc/rc.d/init.d/nginx). Kloxo-MR menambahkan file ~lxcenter.conf karena ingin meletakkan file init.conf dan domain .conf ditempat berbeda.

Setelah merubah file .conf maka nginx harus direstart.

[menyo]

sudah saya restart-all -y pak tadi

Karena error dan masih membaca custom yang dihapus tadi, maka saya cleanup

Sudah saya restart-all -y lagi
dan tidak ada error. tapi ya anehnya itu ip masih nongol ya pak ketika dicek.

sebelumnya saya cek loadnya normal namun setelah beberapa hari domain dipindah keserver baru kok agak naik.
Memang masih kuat, namun gak kebayang saja kalau smua client kaya begitu.

Sayang saja kalau server overload cuma request dri  ip yang gak jelas itu.
Makanya saya coba blokir tapi masih gagal pak.

Install CSF takut error, sudah produksi soalnya servernya.

Bingungnya ya gak ngefek ya pak.

[MRatWork]

Jika anda pakai php-fpm untuk php-type maka jumlah client akan mempengaruhi ram terpakai ini karena php-fpm mengalokasikan jumlah php children dengan jumlah tertentu (default: unlimited = 6) untuk setiap client.

Tidak ada rumus yang pasti berapa client yang bisa 'ditampung' untuk jumlah ram tertentu.

[menyo]

Oke pak sudah ilang IP nya

tidak tahu juga sih kenpa. tadi tiba2 ilang saja.
mungkin efek deny IP tidak langsung alias nunggu proses dulu mungkin ya pak.

IP table itu kalau gak salah kaya firewall and bisa blok ip juga. Itu defaultnya kan mati di service. Itu kalau dihidupkan masalah tidak y pak?
salam