HowTo: nginx als Reverse Proxy vor Apache

vb-server

Registered User
Ist ja schon ein bisschen älter ;) Gerade gesehen, du hast einen neuen Freehoster. Was ist der Unterschied zu cw?

Gruss
 

virtual2

Registered User
Ist ja schon ein bisschen älter ;) Gerade gesehen, du hast einen neuen Freehoster.
Korrekt, das HowTo ist bereits ein wenig älter, möglicherweise hilft es jedoch dem einen oder anderen unbedarften nginx Neuling.
 
Last edited by a moderator:

d4f

Müder Benutzer
es reicht ein Benutzername sowie eMail Adresse und Passwort.
Fragt sich wie lange das gut geht...


Deine Werte sind etwas aus der Luft gegriffen, du solltest beschreiben wie man sie auf das eigene System anpassen sollte. So ist '5' fuer worker_processes je nach System entweder zuviel oder zuwenig.
Der upstream sollte 'keepalive' verwenden um die Belastung durch konstantes Oeffnen neuer TCP-Verbindungen moeglichst niedrig zu halten.

Ausserdem schuetzt dein Tutorial nicht vor Angriffen (Slowloris, Slowread, ...) auf HTTPS Verbindungen.
 

DeaD_EyE

Blog Benutzer
Früher mochte ich Plesk noch. Nachdem ich einmal einen reverse proxy auf einem mit Plesk verseuchten System eingerichtet habe, ist Plesk bei mir unten durch. Gibt es eigentlich einen Weg localhost zu den Hosting-IPs hinzuzufügen?

PS: Müsste Plesk 10.x gewesen sein., wenn ich es richtig in Erinnerung habe.
 

Joe User

Zentrum der Macht
Nun, die Benutzer heißen auch wirklich Benutzer, die Anmeldung nennt sich Registration und es wird alles komplett wie bei einem Freehoster gehandhabt, zudem muss man seine Kontaktdaten nicht angeben, es reicht ein Benutzername sowie eMail Adresse und Passwort.
Schade, dass Du absolut gar nichts aus dem anderen Thread gelernt hast und jetzt auch noch grössere Fehler machst, als damals.

Naja, es ist Deine Zukunft die Du Dir da gerade versaust, gewarnt wurdest Du ja ausreichend...

Hoffentlich finden Deine Eltern das Ganze genauso lustig wie Du und werden Dich beim Abtragen der Schulden unterstützen.
 

virtual2

Registered User
Dazu möchte ich gerne Stellung nehmen:

Fragt sich wie lange das gut geht...
Wir überprüfen die Benutzer per Hand (Username, eMail, IP) und überwachen unser System auf unregelmäßigkeiten wie z.B. erhöhter eMail Versand.

Sollte uns bei der Freischaltung etwas spanisch vorkommen verlangen wir per eMail die Festnetz / Handynummer des Benutzers und rufen diesen an.

Deine Werte sind etwas aus der Luft gegriffen, du solltest beschreiben wie man sie auf das eigene System anpassen sollte. So ist '5' fuer worker_processes je nach System entweder zuviel oder zuwenig.
Der upstream sollte 'keepalive' verwenden um die Belastung durch konstantes Oeffnen neuer TCP-Verbindungen moeglichst niedrig zu halten.

Ausserdem schuetzt dein Tutorial nicht vor Angriffen (Slowloris, Slowread, ...) auf HTTPS Verbindungen.
Die im HowTo genannten Werte haben sich rund 1 Jahr lang bewährt, auch unter heftigen DDoS Attacken welche extrem viel Anbindung verbraten haben, das HowTo ist nur für reine HTTP Verbindungen geschrieben worden, als Reverse Proxy für SSL Verbindungen bevorzuge ich seit neustem Hiawatha.

@Joe:

Ich denke das Thema ist lange gegessen und hat mit dieser Sache so gar nichts zu tun, wenn du anderer Meinung bist kannst du mich gerne via PM oder per eMail (j.hofmann@josephh.me) kontaktieren, auf eine öffentliche Schlamschlacht habe ich eher keine Lust.
 

d4f

Müder Benutzer
Die im HowTo genannten Werte haben sich rund 1 Jahr lang bewährt, auch unter heftigen DDoS Attacken welche extrem viel Anbindung verbraten haben, das HowTo ist nur für reine HTTP Verbindungen geschrieben worden
Wenn ich deine BlogEintraege durchlese welche mit DDoS zu tun haben, so kriege ich das Gefuehl du hast noch nie einen richtigen Angriff ausgesessen.
Na gut, das wird noch ueber Zeit kommen wenn deine Kunden sich unliebsam machen. Habbo-Seiten hosten zB ist ein guter kostenfreier 'Benchmark' der Systemkapazitaet und Netzwerkkapazitaet, deines Abuse-Verfahrungs und der Abuse-Abteilung deines Anbieters.

Die im HowTo genannten Werte haben sich rund 1 Jahr lang bewährt
Die Werte sind trotzdem quatsch wenn sie nicht auf ein System angepasst werden. Die vorliegende Konfig erwartet Hexacore (oder zumindest -thread) Systeme. Nur weil etwas unter maessiger Last ueberlebt bedeutet nicht dass es gut ist.

Sollte uns bei der Freischaltung etwas spanisch vorkommen verlangen wir per eMail die Festnetz / Handynummer des Benutzers und rufen diesen an.
Wie war das mit ausschliesslich Email und Benutzername?

Wir überprüfen die Benutzer per Hand (Username, eMail, IP) und überwachen unser System auf unregelmäßigkeiten wie z.B. erhöhter eMail Versand.
Mit Verlaub, aber nur Flash kann schnell genug reagieren wenn jemand versucht 10'000 Emails ohne automatischen Schutz raus zu hauen.

Es gibt da einen sehr großen und bekannten Freehoster, der macht das schon seit mindestens 4 Jahren so.
Paid-Hosting ist um mehrere Groessenheiten weniger stressig als konstante Pishing-Seiten, Angriffe von Kiddies gegeneinander, Malware-verseuchte Drop-Seiten, ...
Von der Polizei ueber Jugendschutzamt bis hin zu einigen grossen privaten Institutionen kriegt man als Betreiber und das Rechenzentrum regelmaessig Kommunikation. Schon nur dass diese dann nicht den Server direkt dicht machen ist nicht bei allen Anbieter gegeben.
 
Last edited by a moderator:

marius24

New Member
Mit Verlaub, aber nur Flash kann schnell genug reagieren wenn jemand versucht 10'000 Emails ohne automatischen Schutz raus zu hauen.
Andere Freehoster treffen da Vorkehrungen, so dass es garnicht möglich ist so viele emails zu versenden.
Hat er hoffentlich ebenfalls.

Ich bin ebenfalls Administrator bei einem Freehoster, und bei uns dürfen die Benutzer nur 10 emails pro Stunde versenden.
 

virtual2

Registered User
Wenn ich deine BlogEintraege durchlese welche mit DDoS zu tun haben, so kriege ich das Gefuehl du hast noch nie einen richtigen Angriff ausgesessen.
Na gut, das wird noch ueber Zeit kommen wenn deine Kunden sich unliebsam machen. Habbo-Seiten hosten zB ist ein guter kostenfreier 'Benchmark' der Systemkapazitaet und Netzwerkkapazitaet, deines Abuse-Verfahrungs und der Abuse-Abteilung deines Anbieters.
Die Frage ist was du unter richtigem Angriff verstehst, die bisherigen die ein Teil meiner Maschinen standhalten musste lagen im Bereich von rund 10.000 Paketen pro Sekunde.

Andere Freehoster treffen da Vorkehrungen, so dass es garnicht möglich ist so viele emails zu versenden.
Hat er hoffentlich ebenfalls.
Haben wir, das erledigt ein nagios event handler der bei zuvielen gleichzeitig (von einem Benutzer) ausgehenden eMails den Webspace Account sperrt.

Wie war das mit ausschliesslich Email und Benutzername?
Das ist das standartmäßige Verfahren, wiegesagt, wenn uns etwas spanisch vorkommt handeln wir anders.

Paid-Hosting ist um mehrere Groessenheiten weniger stressig als konstante Pishing-Seiten, Angriffe von Kiddies gegeneinander, Malware-verseuchte Drop-Seiten, ...
Von der Polizei ueber Jugendschutzamt bis hin zu einigen grossen privaten Institutionen kriegt man als Betreiber und das Rechenzentrum regelmaessig Kommunikation. Schon nur dass diese dann nicht den Server direkt dicht machen ist nicht bei allen Anbieter gegeben.
Nun, sobald eine Anfrage reinkommt werde ich diese auch dementsprechend bearbeiten, dazu bin ich gesetzlich verpflichtet.

Ich stelle PHP-Friends (wo du ja bekanntlich als Administrator mitwirkst) keine Konkurrenz dar, das Freehosting beziehen aktuell rund 20 User (Werbung haben wir bisher fast noch keine gemacht) dadurch ist das Ganze auch noch ziemlich gut überschaubar.

Nebenher arbeiten wir immer mal wieder mit find um verdächtige files wie mp3 Dateien oder Videodateien zu finden.

@d4f: Ich habe dir nichts getan, d.h. wäre es nett wenn du ein wenig ruhiger verfahren würdest und gleich nicht so einen harten Ton an den Tag legst (kommt für mich so rüber)


So, genug OffTopic, ich denke es ist jetzt wieder Zeit über das im Threadtitel gegebene Thema zu plaudern, wenn weitere offene Fragen, Anregungen oder ähnliches bestehen freue ich mich zu jeder Zeit über eine PM oder eine EMail an j.hofmann@josephh.me ;=)
 
Last edited by a moderator:

vb-server

Registered User
Nehmen wir mal an, die Frames sind 1500 bytes gross, wären das nur leicht über 100mbit/s. Genauer 14.3 MB/s. Wobei ich nicht denke, dass die Pakete 1500 Bytes lang sind. Ich arbeite bei einem ISP, wir hatten da schon Attacken mit über 170kpps. Das ist ne Spur heftiger ;)
 

virtual2

Registered User
Nehmen wir mal an, die Frames sind 1500 bytes gross, wären das nur leicht über 100mbit/s. Genauer 14.3 MB/s. Wobei ich nicht denke, dass die Pakete 1500 Bytes lang sind. Ich arbeite bei einem ISP, wir hatten da schon Attacken mit über 170kpps. Das ist ne Spur heftiger ;)
Naja, ging trotzdem gut ab, die Maschine war durchgehend unter extremer Last, zeitweise war kein SSH Zugriff möglich und pings gingen komplett verloren.
 

vb-server

Registered User
Wie schnell ist das Teil angebunden? 100 oder 1000?

EDIT: Natürlich ist die Anzahl der Pakete ausschlaggebender als die Bandbreite, weiss ich ;) Auch wenn die Bandbreite kein Problem wär könenn viele kleine Pakete ein ganzes Netz lahm legen.
 
Last edited by a moderator:

d4f

Müder Benutzer
Ich habe dir nichts getan, d.h. wäre es nett wenn du ein wenig ruhiger verfahren würdest und gleich nicht so einen harten Ton an den Tag legst (kommt für mich so rüber)
Das ganze soll natuerlich keinen Angriff darstellen, nur eine Diskussion.
Schliesslich geht es im Topic um ein Howto bezgl. Nginx und da mein Punkt ist dass die Konfiguration, wie bei Tutorials ueblich, nicht 1:1 uebernommen werden kann und sollte entsteht daraus eine Diskussion.
Im Internet darf man nicht alles als persoenlichen Angriff auffassen, sonst wird man ja nie fertig :cool:

Die Frage ist was du unter richtigem Angriff verstehst, die bisherigen die ein Teil meiner Maschinen standhalten musste lagen im Bereich von rund 10.000 Paketen pro Sekunde.
Das klingt schon nach einem durchaus als DoS definierbarem Wert. Leider sind entsprechende Angriffe fuer nur paar Euronen stundenlang aufrecht erhaltbar und es gibt auch keine bezahlbare Loesung ausser Cloudflare gegen staerkere.
Du beziehst dich immer darauf dass Nginx und Hiawatha deine Angriffe abwehrten, deshalb hab ich nachgefragt.
Uebrigens ist oft nicht die Bandbreite sondern die IRQ welche als erstes schlapp macht da die (meist) low-cost on-board Netzwerkkarten nichts taugen bei solchen Paketzahlen.
Da musst du schon zu zB den Intel Pro1000 greifen.

ch arbeite bei einem ISP, wir hatten da schon Attacken mit über 170kpps.
"Freut" mich dass mein Serverli schon als ISP-DDoSwuerdig angesehen wird.


So, genug OffTopic, ich denke es ist jetzt wieder Zeit über das im Threadtitel gegebene Thema zu plaudern
Ja bitte. Mein letztes Statement zur Konfiguration hast du ja leider uebersprungen.
 

virtual2

Registered User
Ja bitte. Mein letztes Statement zur Konfiguration hast du ja leider uebersprungen.
Ist nun überarbeitet :)

Das ganze soll natuerlich keinen Angriff darstellen, nur eine Diskussion.

Kam so rüber da ich dich mehr als ruhigere Person befinde ;)

Das klingt schon nach einem durchaus als DoS definierbarem Wert. Leider sind entsprechende Angriffe fuer nur paar Euronen stundenlang aufrecht erhaltbar und es gibt auch keine bezahlbare Loesung ausser Cloudflare gegen staerkere.
Du beziehst dich immer darauf dass Nginx und Hiawatha deine Angriffe abwehrten, deshalb hab ich nachgefragt.
Uebrigens ist oft nicht die Bandbreite sondern die IRQ welche als erstes schlapp macht da die (meist) low-cost on-board Netzwerkkarten nichts taugen bei solchen Paketzahlen.
Da musst du schon zu zB den Intel Pro1000 greifen.
Hiawatha wehrt bei mir die Scriptkiddies ab.

Sinnvoll sind meines Wissens dann Netzwerkkarten welche TOE bereitstellen.
 
Last edited by a moderator:

Top