前提

我在之前有写过使用宝塔waf以及edgeone的防御博文,最近买了一台高防机器,突发奇想,我想让这台高防机器成为我的专属waf,那就是使用nginx反代然后开启宝塔的waf插件实现防御cc,高防机器可以防御ddos。这是我一个思路。域名解析到高防机器上面,然后反代到源站服务器上面。高防开启宝塔waf。(虽然这种做法有点多余,不过这个做法建议用在哪些买高防vps的,低配置且有高防御的。)

目录

  • 前提
  • 准备
  • 部署
  • 配置宝塔waf

准备

  • 域名
  • 高防机器(物理机)(vps)(我推荐horain的机器,他家的机器很好用,还可以蹲特价机。蓝蓝的链接horain)
  • 源站服务器(我们部署网站运行的服务器)
  • 宝塔waf插件(以及宝塔)

部署

宝塔的安装我就不在讲了,可以看看我往期的文章。高防机器打开宝塔安装NGINX和waf插件。

宝塔docker反代域名已存在 宝塔nginx反代_重启

宝塔docker反代域名已存在 宝塔nginx反代_重启_02

创建站点添加反向代理。这个是nginx的一个转发原理,在nginx中可以配置相关参数。我们要转发给自己的站点,需要配置配置一下。(比如我们要给waf.acg.ltd套娃给源站,我们则需要在目标url设置waf.acg.ltd,发送域名也是这个才行。部署完之后会陷入一个重定向死循环,毕竟这个域名解析在我们高防机器,转发还是到高防机器上面,所以我们要把这个高防机器的转发固定ip上面。没错就是修改host文件实现)

宝塔docker反代域名已存在 宝塔nginx反代_服务器_03

修改host实现转发到源站服务器上面。打开文件夹/etc添加为ip waf.acg.ltd 这样就给服务器指向固定的源站ip了。

宝塔docker反代域名已存在 宝塔nginx反代_宝塔docker反代域名已存在_04

配置ssl访问测试一下,如果出现500,需要重启一下nginx。重启之后访问即可正常。

宝塔docker反代域名已存在 宝塔nginx反代_宝塔docker反代域名已存在_05

配置宝塔waf

这个需要根据个人需求来设置,我就来推荐一下我配置的。

宝塔docker反代域名已存在 宝塔nginx反代_服务器_06

宝塔docker反代域名已存在 宝塔nginx反代_运维_07

这样我们就部署好了。cc有宝塔的waf来拦截,ddos也是d到高防上面。源站ip也不会暴露。horain的高防机器很好用,推荐使用。这种方法可以代理的站点不只有一个。配置够的话。理论上无限。