Не прохоит тест конфига nginx

Какую информацию прислать для полноты картины?
Динамический модуль установлен на отдельном сервере, nAPI и кабинет на отдельном.
Какие характеристики сервера, на котором Вы установили nAPI и кабинет? (количество ядер, количество оперативной памяти)
 
Какие характеристики сервера, на котором Вы установили nAPI и кабинет? (количество ядер, количество оперативной памяти)
Прибавил ядер, завелось, спасибо!

Теперь подскажите пожалуйста, как подключить к nemesida WAF ресурс, который нужно защищать?
Nemesida WAF развернут на ВМ с внутренним ip типа 192.168.XX.XX, ресурс находится на домене.

Честно говоря, я в инструкции не нашел, как сделать так, чтобы отслеживать атаки
на защищаемый ресурс.

В инструкции есть только то, как я могу проверить, что динамический модуль и
модуль api работает корректно, а именно:

За получение сигнатур ПО Nemesida WAF отвечает служба nwaf_update. Для проверки
работы сигнатурного метода обнаружения атак при отправке запроса
http://YOUR_SERVER/nwaftest сервер должен ответить с кодом 403.

Вместо YOUR_SERVER я подразумеваю сервер, где установлен динамический модуль. В
нашем случае это ВМ с внутренним ip адресом 192.168.XX.XX. Нам нужно посмотреть поведение WAF при
защите ресурса, который находится на домене *.kamotive.ru

В каких конфигах это можно прописать? Чтобы атака в ЛК можно было отследить, что
защищается именно наш ресурс, а не то, что в данный момент я могу наблюдать в ЛК
 
Last edited:
Теперь подскажите пожалуйста, как подключить к nemesida WAF ресурс, который нужно защищать?
Nemesida WAF развернут на ВМ с внутренним ip типа 192.168.XX.XX, ресурс находится на домене.

Честно говоря, я в инструкции не нашел, как сделать так, чтобы отслеживать атаки
на защищаемый ресурс.

В инструкции есть только то, как я могу проверить, что динамический модуль и
модуль api работает корректно, а именно:



Вместо YOUR_SERVER я подразумеваю сервер, где установлен динамический модуль. В
нашем случае это ВМ с внутренним ip адресом 192.168.XX.XX. Нам нужно посмотреть поведение WAF при
защите ресурса, который находится на домене *.kamotive.ru

В каких конфигах это можно прописать? Чтобы атака в ЛК можно было отследить, что
защищается именно наш ресурс, а не то, что в данный момент я могу наблюдать в ЛК

Nemesida WAF защищает все ресурсы, расположенные на том экземпляре nginx, на котором подключен модуль nwaf-dyn.
Если требующий защиты ресурс расположен на другом сервере, то Вам необходимо средствами nginx настроить перенаправление запросов с nginx, где расположен модуль nwaf-dyn, на сервер с требующим защиты ресурсом.
При проверке защиты ресурса необходимо помнить, что обращаться нужно к серверу с установленным nwaf-dyn, а не напрямую к защищаемому ресурсу (возможно потребуется перенастройка DNS).

В Community Edition поле domain в личном кабинете будет всегда отображаться как example.com, поэтому убедиться, что защищается именно Ваш ресурс нужно будет по косвенным признакам (например, URL).
 
Здравствуйте.
Насколько я понимаю, атака обычно направляется на сам ресурс, то есть на сервер, где находится фронт ресурса. Это может быть доменное имя или ip адрес. Соответственно, этот запрос с атакой должен проксироваться на динамический модуль. Реализовать это можно примерно так в настройках nginx на фронте нашего веб-приложеня:
server {
listen <ip_frontend_server>: port ;
server_name <domain_name.com>;

location / {
proxy_pass https://<ip_nwaf_dyn>: port;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
access_log off;
После обработки запроса динамическим модулем запрос должен вернуться на фронт, если не была распознана атака, либо быть заблокированным в случае обнаружения атаки. Поправьте меня, если я в чем-то неправ. Если прав, то подскажите, какими средствами можно вернуть запрос на фронт. Видимо, нужно что-то подобное прописать в настройках nginx динамического модуля.
 
Для проксирования трафика через сервер с динамическим модулем необходимо создавать на сервере с установленным модулем Nemesida WAF конфигурациооный файл виртуального хоста, который через proxy_pass будет обращаться к конечному веб-приложению. Например:
PHP:
server {
        server_name  site.example.com;
        listen 80;

        location / {
                proxy_pass http://x.x.x.x;
        }
}

Более подробно по настройке прокси можете прочитать в официальной документации Nginx.
 
Back
Top