เชฎเชฟเชคเซเชฐเซ, เชนเซเชฒเซ!
เชเชฐเชฅเซ เชคเชฎเชพเชฐเชพ เชเชซเชฟเชธ เชตเชฐเซเชเชธเซเชชเซเชธ เชธเชพเชฅเซ เชเชจเซเชเซเช เชฅเชตเชพเชจเซ เชเชฃเซ เชฐเซเชคเซ เชเซ. เชคเซเชฎเชพเชเชฅเซ เชเช เชฎเชพเชเชเซเชฐเซเชธเซเชซเซเช เชฐเชฟเชฎเซเช เชกเซเชธเซเชเชเซเชช เชเซเชเชตเซเชจเซ เชเชชเชฏเซเช เชเชฐเชตเชพเชจเซ เชเซ. เช HTTP เชชเชฐ RDP เชเซ. เชนเซเช เช
เชนเซเช RDGW เชธเซเช เชเชฐเชตเชพ เชฎเชพเชเซ เชชเซเชคเซ เช เชธเซเชชเชฐเซเชถเชตเชพ เชฎเชพเชเชเชคเซ เชจเชฅเซ, เชนเซเช เชคเซ เชถเชพ เชฎเชพเชเซ เชธเชพเชฐเซเช เชเซ เชเชฐเชพเชฌ เชเซ เชคเซเชจเซ เชเชฐเซเชเชพ เชเชฐเชตเชพ เชฎเชพเชเชเชคเซ เชจเชฅเซ, เชเชพเชฒเซ เชคเซเชจเซ เชฐเชฟเชฎเซเช เชเชเซเชธเซเชธ เชเซเชฒเซเชธเชฎเชพเชเชฅเซ เชเช เชคเชฐเซเชเซ เชเชฃเซเช. เชนเซเช เชคเชฎเชพเชฐเชพ RDGW เชธเชฐเซเชตเชฐเชจเซ เชฆเซเชทเซเช เชเชจเซเชเชฐเชจเซเชเชฅเซ เชฌเชเชพเชตเชตเชพ เชตเชฟเชถเซ เชตเชพเชค เชเชฐเชตเชพ เชฎเชพเชเชเซ เชเซเช. เชเซเชฏเชพเชฐเซ เชฎเซเช RDGW เชธเชฐเซเชตเชฐ เชธเซเช เชเชฐเซเชฏเซเช, เชคเซเชฏเชพเชฐเซ เชนเซเช เชคเชฐเชค เช เชธเซเชฐเชเซเชทเชพ เชตเชฟเชถเซ เชเชฟเชเชคเชฟเชค เชฌเชจเซเชฏเซ, เชเชพเชธ เชเชฐเซเชจเซ เชชเชพเชธเชตเชฐเซเชก เชฌเซเชฐเซเช เชซเซเชฐเซเชธ เชธเชพเชฎเซ เชฐเชเซเชทเชฃ. เชฎเชจเซ เชเชถเซเชเชฐเซเชฏ เชฅเชฏเซเช เชเซ เชฎเชจเซ เช เชเซเชตเซ เชฐเซเชคเซ เชเชฐเชตเซเช เชคเซ เชตเชฟเชถเซ เชเชจเซเชเชฐเชจเซเช เชชเชฐ เชเซเช เชฒเซเช เชฎเชณเซเชฏเซ เชจเชฅเซ. เชธเชพเชฐเซเช, เชคเชฎเชพเชฐเซ เชคเซ เชเชพเชคเซ เชเชฐเชตเซเช เชชเชกเชถเซ.
เชเชฐเชกเซเชเซเชกเชฌเชฒเซเชฏเซ เชชเชพเชธเซ เชชเซเชคเซ เชเซเช เชฐเชเซเชทเชฃ เชจเชฅเซ. เชนเชพ, เชคเซเชจเซ เชเชเชฆเชฎ เชเชจเซเชเชฐเชซเซเชธ เชธเชพเชฅเซ เชธเชซเซเชฆ เชจเซเชเชตเชฐเซเชเชฎเชพเช เชเชเซเชธเชชเซเช เชเชฐเซ เชถเชเชพเชฏ เชเซ เช
เชจเซ เชคเซ เชเซเชฌ เช เชธเชพเชฐเซเช เชเชพเชฎ เชเชฐเชถเซ. เชชเชฐเชเชคเซ เชเชจเชพเชฅเซ เชฏเซเชเซเชฏ เชตเซเชฏเชตเชธเซเชฅเชพเชชเช เช
เชฅเชตเชพ เชฎเชพเชนเชฟเชคเซ เชธเซเชฐเชเซเชทเชพ เชจเชฟเชทเซเชฃเชพเชค เช
เชธเซเชตเชธเซเชฅ เชฅเชถเซ. เชตเชงเซเชฎเชพเช, เชคเซ เชคเชฎเชจเซ เชเชเชพเชเชจเซเชเชจเซ เช
เชตเชฐเซเชงเชฟเชค เชเชฐเชตเชพเชจเซ เชชเชฐเชฟเชธเซเชฅเชฟเชคเชฟเชจเซ เชเชพเชณเชตเชพ เชฆเซเชถเซ, เชเซเชฏเชพเชฐเซ เชฌเซเชฆเชฐเชเชพเชฐ เชเชฐเซเชฎเชเชพเชฐเซเช เชคเซเชจเชพ เชนเซเชฎ เชเชฎเซเชชเซเชฏเซเชเชฐ เชชเชฐ เชเซเชฐเซเชชเซเชฐเซเช เชเชเชพเชเชจเซเช เชฎเชพเชเซ เชชเชพเชธเชตเชฐเซเชก เชฏเชพเชฆ เชฐเชพเชเซเชฏเซ, เช
เชจเซ เชชเชเซ เชคเซเชจเซ เชชเชพเชธเชตเชฐเซเชก เชฌเชฆเชฒเซเชฏเซ.
เชฌเชพเชนเซเชฏ เชชเชฐเซเชฏเชพเชตเชฐเชฃเชฎเชพเชเชฅเซ เชเชเชคเชฐเชฟเช เชธเชเชธเชพเชงเชจเซเชจเซ เชธเซเชฐเชเซเชทเชฟเชค เชฐเชพเชเชตเชพเชจเซ เชเช เชธเชพเชฐเซ เชฎเชพเชฐเซเช เชตเชฟเชตเชฟเชง เชชเซเชฐเซเชเซเชธเซ, เชชเซเชฐเชเชพเชถเชจ เชชเซเชฐเชฃเชพเชฒเซเช เช เชจเซ เช เชจเซเชฏ WAFs เชฆเซเชตเชพเชฐเชพ เชเซ. เชเชพเชฒเซ เชฏเชพเชฆ เชฐเชพเชเซเช เชเซ RDGW เชนเชเซ เชชเชฃ http เชเซ, เชชเชเซ เชคเซ เชซเชเซเชค เชเชเชคเชฐเชฟเช เชธเชฐเซเชตเชฐเซเชธ เช เชจเซ เชเชจเซเชเชฐเชจเซเช เชตเชเซเชเซ เชตเชฟเชถเชฟเชทเซเช เชธเซเชฒเซเชฏเซเชถเชจเชจเซ เชชเซเชฒเช เชเชฐเชตเชพ เชฎเชพเชเชเซ เชเซ.
เชนเซเช เชเชพเชฃเซเช เชเซเช เชเซ เชเซเชฒ F5, A10, Netscaler(ADC) เชเซ. เช เชธเชฟเชธเซเชเชฎเซเชฎเชพเชเชฅเซ เชเชเชจเชพ เชเชกเชฎเชฟเชจเชฟเชธเซเชเซเชฐเซเชเชฐ เชคเชฐเซเชเซ, เชนเซเช เชเชนเซเชถ เชเซ เช เชธเชฟเชธเซเชเชฎเซ เชชเชฐ เชฌเซเชฐเซเช เชซเซเชฐเซเชธ เชธเชพเชฎเซ เชฐเชเซเชทเชฃ เชธเซเช เชเชฐเชตเซเช เชชเชฃ เชถเชเซเชฏ เชเซ. เช เชจเซ เชนเชพ, เช เชธเชฟเชธเซเชเชฎเซเชธ เชคเชฎเชจเซ เชเซเชเชชเชฃ เชธเชฟเชจ เชซเซเชฒเชกเชฅเซ เชชเชฃ เชฌเชเชพเชตเชถเซ.
เชชเชฐเชเชคเซ เชฆเชฐเซเช เชเชเชชเชจเซ เชเชตเชพ เชธเซเชฒเซเชฏเซเชถเชจ เชเชฐเซเชฆเชตเชพ เชชเชฐเชตเชกเซ เชถเชเซ เชคเซเชฎ เชจเชฅเซ (เช เชจเซ เชเชตเซ เชธเชฟเชธเซเชเชฎ เชฎเชพเชเซ เชเชกเชฎเชฟเชจเชฟเชธเซเชเซเชฐเซเชเชฐ เชถเซเชงเซ :), เชชเชฐเชเชคเซ เชคเซ เช เชธเชฎเชฏเซ เชคเซเช เชธเซเชฐเชเซเชทเชพเชจเซ เชเชพเชณเชเซ เชฒเช เชถเชเซ เชเซ!
เชฎเชซเชค เชเชชเชฐเซเชเชฟเชเช เชธเชฟเชธเซเชเชฎ เชชเชฐ HAProxy เชจเซเช เชฎเชซเชค เชธเชเชธเซเชเชฐเชฃ เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเซเช เชธเชเชชเซเชฐเซเชฃเชชเชฃเซ เชถเชเซเชฏ เชเซ. เชฎเซเช เชธเซเชเซเชฌเชฒ เชฐเชฟเชชเซเชเซเชเชฐเซเชฎเชพเช เชกเซเชฌเชฟเชฏเชจ 10, เชนเซเชชเซเชฐเซเชเซเชธเซ เชตเชฐเซเชเชจ 1.8.19 เชชเชฐ เชชเชฐเซเชเซเชทเชฃ เชเชฐเซเชฏเซเช. เชฎเซเช เชคเซเชจเซเช เชชเชฐเซเชเซเชทเชฃ เชฐเซเชชเซเชเซเชเชฐเซเชฎเชพเชเชฅเซ เชธเชเชธเซเชเชฐเชฃ 2.0.xx เชชเชฐ เชชเชฃ เชชเชฐเซเชเซเชทเชฃ เชเชฐเซเชฏเซเช เชเซ.
เช เชฎเซ เช เชฒเซเชเชจเชพ เช เชตเชเชพเชถเชจเซ เชฌเชนเชพเชฐ เชกเซเชฌเชฟเชฏเชจเชจเซ เชธเซเช เชเชฐเชตเชพเชจเซเช เชเซเชกเซ เชฆเชเชถเซเช. เชธเชเชเซเชทเชฟเชชเซเชคเชฎเชพเช: เชธเชซเซเชฆ เชเชจเซเชเชฐเชซเซเชธ เชชเชฐ, เชชเซเชฐเซเช 443 เชธเชฟเชตเชพเชฏ เชฌเชงเซเช เชฌเชเชง เชเชฐเซ, เชเซเชฐเซ เชเชจเซเชเชฐเชซเซเชธ เชชเชฐ - เชคเชฎเชพเชฐเซ เชจเซเชคเชฟ เช เชจเซเชธเชพเชฐ, เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, เชชเซเชฐเซเช 22 เชธเชฟเชตเชพเชฏ เชฌเชงเซเช เชชเชฃ เชฌเชเชง เชเชฐเซ. เชเชพเชฐเซเชฏ เชฎเชพเชเซ เชเชฐเซเชฐเซ เชนเซเชฏ เชคเซ เช เชเซเชฒเซ (เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, เชซเซเชฒเซเชเชฟเชเช เชเชเชชเซ เชฎเชพเชเซ VRRP).
เชธเซ เชชเซเชฐเชฅเชฎ, เชฎเซเช SSL เชฌเซเชฐเชฟเชเชฟเชเช เชฎเซเชก (เชเชฐเซเชซ HTTP เชฎเซเชก) เชฎเชพเช เชนเซเชชเซเชฐเซเชเซเชธเซเชจเซ เชเซเช เชตเซเชฏเซเช เช เชจเซ RDP เชจเซ เช เชเชฆเชฐ เชถเซเช เชเชพเชฒเซ เชฐเชนเซเชฏเซเช เชเซ เชคเซ เชเซเชตเชพ เชฎเชพเชเซ เชฒเซเชเชฟเชเช เชเชพเชฒเซ เชเชฐเซเชฏเซเช. เชคเซเชฅเซ เชตเชพเชค เชเชฐเชตเชพ เชฎเชพเชเซ, เชนเซเช เชฎเชงเซเชฏเชฎเชพเช เชเชตเซ เชเชฏเซ. เชคเซเชฅเซ, RDGateway เชธเซเช เชเชฐเชตเชพ เชฎเชพเชเซเชจเชพ "เชฌเชงเชพ" เชฒเซเชเซเชฎเชพเช เชเชฒเซเชฒเซเชเชฟเชค /RDWeb เชชเชพเชฅ เชเซเชเซ เชเซ. เชคเซเชฏเชพเช เชเซ เชฌเชงเซเช เชเซ เชคเซ /rpc/rpcproxy.dll เช เชจเซ /remoteDesktopGateway/ เชเซ. เช เชเชฟเชธเซเชธเชพเชฎเชพเช, เชชเซเชฐเชฎเชพเชฃเชญเซเชค GET/POST เชตเชฟเชจเชเชคเซเชเชจเซ เชเชชเชฏเซเช เชเชฐเชตเชพเชฎเชพเช เชเชตเชคเซ เชจเชฅเซ; เชคเซเชฎเชจเชพ เชชเซเชคเชพเชจเชพ เชชเซเชฐเชเชพเชฐเชจเซ เชตเชฟเชจเชเชคเซ RDG_IN_DATA, RDG_OUT_DATA เชจเซ เชเชชเชฏเซเช เชฅเชพเชฏ เชเซ.
เชตเชงเซ เชจเชนเซเช, เชชเชฐเชเชคเซ เชเชเชพเชฎเชพเช เชเชเซเช เชเชเชเช.
เชเชพเชฒเซ เชชเชฐเซเชเซเชทเชฃ เชเชฐเซเช.
เชนเซเช mstsc เชฒเซเชจเซเช เชเชฐเซเช เชเซเช, เชธเชฐเซเชตเชฐ เชชเชฐ เชเชพเชเช เชเซเช, เชฒเซเชเชฎเชพเช เชเชพเชฐ 401 (เช เชจเชงเชฟเชเซเชค) เชญเซเชฒเซ เชเซเช, เชชเชเซ เชฎเชพเชฐเซเช เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชจเชพเชฎ/เชชเชพเชธเชตเชฐเซเชก เชฆเชพเชเชฒ เชเชฐเซ เช เชจเซ เชชเซเชฐเชคเชฟเชธเชพเชฆ 200 เชเซเช.
เชนเซเช เชคเซเชจเซ เชฌเชเชง เชเชฐเซเช เชเซเช, เชคเซเชจเซ เชซเชฐเซเชฅเซ เชถเชฐเซ เชเชฐเซเช เชเซเช, เช เชจเซ เชฒเซเชเชฎเชพเช เชฎเชจเซ เช เช เชเชพเชฐ 401 เชญเซเชฒเซ เชฆเซเชเชพเชฏ เชเซ. เชนเซเช เชเซเชเซ เชฒเซเชเชฟเชจ/เชชเชพเชธเชตเชฐเซเชก เชฆเชพเชเชฒ เชเชฐเซเช เชเซเช เช เชจเซ เชซเชฐเซเชฅเซ เชเชพเชฐ 401 เชญเซเชฒเซ เชเซเชเช เชเซเช. เชฎเชจเซ เชเชจเซ เชเชฐเซเชฐ เชเซ. เช เชเชชเชฃเซ เชชเชเชกเซเชถเซเช.
เชฒเซเชเชฟเชจ url เชจเชเซเชเซ เชเชฐเชตเชพเชจเซเช เชถเชเซเชฏ เชจ เชนเซเชตเชพเชฅเซ, เช เชจเซ เชเชชเชฐเชพเชเชค, เชฎเชจเซ เชเชฌเชฐ เชจเชฅเซ เชเซ เชนเซเชชเซเชฐเซเชเซเชธเซเชฎเชพเช 401 เชญเซเชฒ เชเซเชตเซ เชฐเซเชคเซ เชชเชเชกเชตเซ, เชนเซเช เชฌเชงเซ 4xx เชญเซเชฒเซเชจเซ เชชเชเชกเซเชถ (เชตเชพเชธเซเชคเชตเชฎเชพเช เชจเชนเซเช, เชชเชฃ เชเชฃเซเชถ). เชธเชฎเชธเซเชฏเชพ เชนเชฒ เชเชฐเชตเชพ เชฎเชพเชเซ เชชเชฃ เชฏเซเชเซเชฏ.
เชธเชเชฐเชเซเชทเชฃเชจเซ เชธเชพเชฐ เช เชนเชถเซ เชเซ เช เชฎเซ เชธเชฎเชฏเชจเชพ เชเชเชฎ เชฆเซเช 4xx เชญเซเชฒเซเชจเซ เชธเชเชเซเชฏเชพ (เชฌเซเชเชเชจเซเชก เชชเชฐ) เชเชฃเซเชถเซเช เช เชจเซ เชเซ เชคเซ เชจเชฟเชฐเซเชฆเชฟเชทเซเช เชฎเชฐเซเชฏเชพเชฆเชพ เชเชฐเชคเชพเช เชตเชงเซ เชเชพเชฏ, เชคเซ เชจเชฟเชฐเซเชฆเชฟเชทเซเช เชธเชฎเชฏ เชฎเชพเชเซ เช เชเชเชชเซเชฎเชพเชเชฅเซ เชเชเชณเชจเชพ เชคเชฎเชพเชฎ เชเชจเซเชเซเชถเชจเซเชธเชจเซ เชจเชเชพเชฐเซ เชเชพเชขเซ. .
เชคเชเชจเซเชเซ เชฐเซเชคเซ, เช เชชเชพเชธเชตเชฐเซเชก เชฌเซเชฐเซเช เชซเซเชฐเซเชธ เชธเชพเชฎเซ เชฐเชเซเชทเชฃ เชจเชนเซเช เชนเซเชฏ, เชคเซ 4xx เชญเซเชฒเซ เชธเชพเชฎเซ เชฐเชเซเชทเชฃ เชนเชถเซ. เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, เชเซ เชคเชฎเซ เชตเชพเชฐเชเชตเชพเชฐ เชฌเชฟเชจ-เช เชธเซเชคเชฟเชคเซเชต เชงเชฐเชพเชตเชคเชพ url (404) เชฎเชพเชเซ เชตเชฟเชจเชเชคเซ เชเชฐเซ เชเซ, เชคเซ เชธเซเชฐเชเซเชทเชพ เชชเชฃ เชเชพเชฎ เชเชฐเชถเซ.
เชธเซเชฅเซ เชธเชฐเชณ เช เชจเซ เชธเซเชฅเซ เช เชธเชฐเชเชพเชฐเช เชฐเซเชค เช เชเซ เชเซ เชฌเซเชเชเชจเซเชก เชชเชฐ เชเชฃเชคเชฐเซ เชเชฐเชตเซ เช เชจเซ เชเซ เชเชเชเชชเชฃ เชตเชงเชพเชฐเชพเชจเซเช เชฆเซเชเชพเชฏ เชคเซ เชชเชพเชเชพ เชฐเชฟเชชเซเชฐเซเช เชเชฐเซ:
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/desktop.example.com.pem
mode http
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ัะพะทะดะฐัั ัะฐะฑะปะธัั, ัััะพะบะพะฒัั, 1000 ัะปะตะผะตะฝัะพะฒ, ะฟัะพััั
ะฐะตั ัะตัะตะท 15 ัะตะบ, ะทะฐะฟะธัะฐัั ะบะพะป-ะฒะพ ะพัะธะฑะพะบ ะทะฐ ะฟะพัะปะตะดะฝะธะต 10 ัะตะบ
stick-table type string len 128 size 1k expire 15s store http_err_rate(10s)
#ะทะฐะฟะพะผะฝะธัั ip
http-request track-sc0 src
#ะทะฐะฟัะตัะธัั ั http ะพัะธะฑะบะพะน 429, ะตัะปะธ ะทะฐ ะฟะพัะปะตะดะฝะธะต 10 ัะตะบ ะฑะพะปััะต 4 ะพัะธะฑะพะบ
http-request deny deny_status 429 if { sc_http_err_rate(0) gt 4 }
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
เชถเซเชฐเซเชทเซเช เชตเชฟเชเชฒเซเชช เชจเชฅเซ, เชเชพเชฒเซ เชคเซเชจเซ เชเชเชฟเชฒ เชฌเชจเชพเชตเซเช. เช เชฎเซ เชฌเซเชเชเชจเซเชก เชชเชฐ เชเชฃเชคเชฐเซ เชเชฐเซเชถเซเช เช เชจเซ เชเชเชณเชจเชพ เชญเชพเชเชฎเชพเช เชฌเซเชฒเซเช เชเชฐเซเชถเซเช.
เช เชฎเซ เชนเซเชฎเชฒเชพเชเซเชฐ เชธเชพเชฅเซ เช เชธเชเชธเซเชเชพเชฐเซ เชตเชฐเซเชคเชจ เชเชฐเซเชถเซเช เช เชจเซ เชคเซเชจเซเช TCP เชเชจเซเชเซเชถเชจ เชเซเชกเซ เชฆเชเชถเซเช.
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/ertelecom_ru_2020_06_11.pem
mode http
...
#ัะพะทะดะฐัั ัะฐะฑะปะธัั ip ะฐะดัะตัะพะฒ, 1000 ัะปะตะผะตะฝัะพะฒ, ะฟัะพััั
ะฝะตั ัะตัะตะท 15 ัะตะบ, ัะพั
ััะฝััั ะธะท ะณะปะพะฑะฐะปัะฝะพะณะพ ัััััะธะบะฐ
stick-table type ip size 1k expire 15s store gpc0
#ะฒะทััั ะธััะพัะฝะธะบ
tcp-request connection track-sc0 src
#ะพัะบะปะพะฝะธัั tcp ัะพะตะดะธะฝะตะฝะธะต, ะตัะปะธ ะณะปะพะฑะฐะปัะฝัะน ัััััะธะบ >0
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
mode http
...
#ัะพะทะดะฐัั ัะฐะฑะปะธัั ip ะฐะดัะตัะพะฒ, 1000 ัะปะตะผะตะฝัะพะฒ, ะฟัะพััั
ะฝะตั ัะตัะตะท 15 ัะตะบ, ัะพั
ัะฐะฝััั ะบะพะป-ะฒะพ ะพัะธะฑะพะบ ะทะฐ 10 ัะตะบ
stick-table type ip size 1k expire 15s store http_err_rate(10s)
#ะผะฝะพะณะพ ะพัะธะฑะพะบ, ะตัะปะธ ะบะพะป-ะฒะพ ะพัะธะฑะพะบ ะทะฐ 10 ัะตะบ ะฟัะตะฒััะธะปะพ 8
acl errors_too_fast sc1_http_err_rate gt 8
#ะฟะพะผะตัะธัั ะฐัะฐะบั ะฒ ะณะปะพะฑะฐะปัะฝะพะผ ัััััะธะบะต (ัะฒะตะปะธัะธัั ัััััะธะบ)
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
#ะพะฑะฝัะปะธัั ะณะปะพะฑะฐะปัะฝัะน ัััััะธะบ
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
#ะฒะทััั ะธััะพัะฝะธะบ
tcp-request content track-sc1 src
#ะพัะบะปะพะฝะธัั, ะฟะพะผะตัะธัั, ััะพ ะฐัะฐะบะฐ
tcp-request content reject if errors_too_fast mark_as_abuser
#ัะฐะทัะตัะธัั, ัะฑัะพัะธัั ัะปะฐะถะพะบ ะฐัะฐะบะธ
tcp-request content accept if !errors_too_fast clear_as_abuser
...
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
เชคเซ เช เชตเชธเซเชคเซ, เชชเชฐเชเชคเซ เชจเชฎเซเชฐเชคเชพเชชเซเชฐเซเชตเช, เช เชฎเซ เชญเซเชฒ เชชเชฐเชค เชเชฐเซเชถเซเช http 429 (เชเชฃเซ เชฌเชงเซ เชตเชฟเชจเชเชคเซเช)
frontend fe_rdp_tsc
...
stick-table type ip size 1k expire 15s store gpc0
http-request track-sc0 src
http-request deny deny_status 429 if { sc0_get_gpc0 gt 0 }
...
default_backend be_rdp_tsc
backend be_rdp_tsc
...
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
http-request track-sc1 src
http-request allow if !errors_too_fast clear_as_abuser
http-request deny deny_status 429 if errors_too_fast mark_as_abuser
...
เชนเซเช เชคเชชเชพเชธเซเช เชเซเช: เชนเซเช mstsc เชฒเซเชจเซเช เชเชฐเซเช เชเซเช เช เชจเซ เชฐเซเชจเซเชกเชฎเชฒเซ เชชเชพเชธเชตเชฐเซเชกเซเชธ เชฆเชพเชเชฒ เชเชฐเชตเชพเชจเซเช เชถเชฐเซ เชเชฐเซเช เชเซเช. เชคเซเชฐเซเชเชพ เชชเซเชฐเชฏเชพเชธ เชชเชเซ, 10 เชธเซเชเชจเซเชกเชจเซ เช เชเชฆเชฐ เชคเซ เชฎเชจเซ เชชเชพเชเซ เชฒเชพเชค เชฎเชพเชฐเซ เชเซ, เช เชจเซ mstsc เชญเซเชฒ เชเชชเซ เชเซ. เชเซเชฎ เชเซ เชฒเซเชเชฎเชพเช เชเซเช เชถเชเชพเชฏ เชเซ.
เชเซเชฒเชพเชธเชพเช. เชนเซเช เชนเซเชชเซเชฐเซเชเซเชธเซ เชฎเชพเชธเซเชเชฐเชฅเซ เชฆเซเชฐ เชเซเช. เชนเซเช เชถเชพ เชฎเชพเชเซ เชธเชฎเชเซ เชถเชเชคเซ เชจเชฅเซ, เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ
http-เชตเชฟเชจเชเชคเซ deny_status 429 เชเซ { sc_http_err_rate(0) gt 4 }
เชคเซ เชเชพเชฎ เชเชฐเซ เชคเซ เชชเชนเซเชฒเชพเช เชคเชฎเชจเซ เชฒเชเชญเช 10 เชญเซเชฒเซ เชเชฐเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเชชเซ เชเซ.
เชนเซเช เชเชพเชเชจเซเชเชฐเซเชธเชจเชพ เชจเชเชฌเชฐเชฟเชเช เชตเชฟเชถเซ เชฎเซเชเชเชตเชฃเชฎเชพเช เชเซเช. เชนเซเชชเซเชฐเซเชเซเชธเซเชจเชพ เชฎเชพเชธเซเชเชฐเซเชธ, เชเซ เชคเชฎเซ เชฎเชจเซ เชชเซเชฐเช เชฌเชจเชพเชตเซ, เชฎเชจเซ เชธเซเชงเชพเชฐเชถเซ, เชฎเชจเซ เชตเชงเซ เชธเชพเชฐเซเช เชฌเชจเชพเชตเซ เชคเซ เชฎเชจเซ เชเชจเชเชฆ เชฅเชถเซ.
เชเชฟเชชเซเชชเชฃเซเชเชฎเชพเช เชคเชฎเซ เชเชฐเชกเซ เชเซเชเชตเซเชจเซ เชธเซเชฐเชเซเชทเชฟเชค เชเชฐเชตเชพ เชฎเชพเชเซ เช เชจเซเชฏ เชฐเซเชคเซ เชธเซเชเชตเซ เชถเชเซ เชเซ, เชคเซ เช เชญเซเชฏเชพเชธ เชเชฐเชตเชพ เชฎเชพเชเซ เชฐเชธเชชเซเชฐเชฆ เชฐเชนเซเชถเซ.
เชตเชฟเชจเซเชกเซเช เชฐเซเชฎเซเช เชกเซเชธเซเชเชเซเชช เชเซเชฒเชพเชฏเชเช (mstsc) เชตเชฟเชถเซ, เชคเซ เชจเซเชเชงเชตเซเช เชฏเซเชเซเชฏ เชเซ เชเซ เชคเซ TLS1.2 (เชเชเชพเชฎเชพเช เชเชเซเช Windows 7 เชฎเชพเช) เชจเซ เชธเชชเซเชฐเซเช เชเชฐเชคเซเช เชจเชฅเซ, เชคเซเชฅเซ เชฎเชพเชฐเซ TLS1 เชเซเชกเชตเซเช เชชเชกเซเชฏเซเช; เชตเชฐเซเชคเชฎเชพเชจ เชธเชพเชเชซเชฐเชจเซ เชธเชฎเชฐเซเชฅเชจ เชเชชเชคเซเช เชจเชฅเซ, เชคเซเชฅเซ เชฎเชพเชฐเซ เชเซเชจเชพเชจเซ เชชเชฃ เชเซเชกเชตเซเช เชชเชกเซเชฏเซเช.
เชเซเช เชเชเชเชชเชฃ เชธเชฎเชเซ เชถเชเชคเชพ เชจเชฅเซ, เชซเชเซเชค เชถเซเชเซ เชฐเชนเซเชฏเชพ เชเซ เช เชจเซ เชชเชนเซเชฒเซเชฅเซ เช เชธเชพเชฐเซเช เชเชฐเชตเชพ เชฎเชพเชเซ เชเซ, เชนเซเช เชคเชฎเชจเซ เชธเชเชชเซเชฐเซเชฃ เชฐเซเชชเชฐเซเชเชพ เชเชชเซเชถ.
haproxy.conf
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin expose-fd listeners
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# See: https://ssl-config.mozilla.org/#server=haproxy&server-version=2.0.3&config=intermediate
#ssl-default-bind-ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE
-RSA-AES256-GCM-SHA384
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-bind-ciphersuites TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256
#ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets
ssl-default-bind-options no-sslv3
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
timeout connect 5000
timeout client 15m
timeout server 15m
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend fe_rdp_tsc
bind *:443 ssl crt /etc/haproxy/cert/dektop.example.com.pem
mode http
capture request header Host len 32
log global
option httplog
timeout client 300s
maxconn 1000
stick-table type ip size 1k expire 15s store gpc0
tcp-request connection track-sc0 src
tcp-request connection reject if { sc0_get_gpc0 gt 0 }
acl rdweb_domain hdr(host) -i beg dektop.example.com
http-request deny deny_status 400 if !rdweb_domain
default_backend be_rdp_tsc
backend be_rdp_tsc
balance source
mode http
log global
stick-table type ip size 1k expire 15s store http_err_rate(10s)
acl errors_too_fast sc1_http_err_rate gt 8
acl mark_as_abuser sc0_inc_gpc0(fe_rdp_tsc) gt 0
acl clear_as_abuser sc0_clr_gpc0(fe_rdp_tsc) ge 0
tcp-request content track-sc1 src
tcp-request content reject if errors_too_fast mark_as_abuser
tcp-request content accept if !errors_too_fast clear_as_abuser
option forwardfor
http-request add-header X-CLIENT-IP %[src]
option httpchk GET /
cookie RDPWEB insert nocache
default-server inter 3s rise 2 fall 3
server rdgw01 192.168.1.33:443 maxconn 1000 weight 10 ssl check cookie rdgw01
server rdgw02 192.168.2.33:443 maxconn 1000 weight 10 ssl check cookie rdgw02
frontend fe_stats
mode http
bind *:8080
acl ip_allow_admin src 192.168.66.66
stats enable
stats uri /stats
stats refresh 30s
#stats admin if LOCALHOST
stats admin if ip_allow_admin
เชถเชพ เชฎเชพเชเซ เชฌเซเชเชเชจเซเชก เชชเชฐ เชฌเซ เชธเชฐเซเชตเชฐ? เชเชพเชฐเชฃ เชเซ เช เชฐเซเชคเซ เชคเชฎเซ เชฆเซเชท เชธเชนเชฟเชทเซเชฃเซเชคเชพ เชฌเชจเชพเชตเซ เชถเชเซ เชเซ. เชนเซเชชเซเชฐเซเชเซเชธเซ เชซเซเชฒเซเชเชฟเชเช เชตเซเชนเชพเชเช เชเชเชชเซ เชธเชพเชฅเซ เชฌเซ เชชเชฃ เชฌเชจเชพเชตเซ เชถเชเซ เชเซ.
เชเชฎเซเชชเซเชฏเซเชเชฟเชเช เชธเชเชธเชพเชงเชจเซ: เชคเชฎเซ "เชฌเซ เชเซเช, เชฌเซ เชเซเชฐ, เชเซเชฎเชฟเชเช เชชเซเชธเซ" เชธเชพเชฅเซ เชชเซเชฐเชพเชฐเชเชญ เชเชฐเซ เชถเชเซ เชเซ. เช
เชจเซเชธเชพเชฐ
เชธเชเชฆเชฐเซเชญเซ:
เชธเซเชฐเซเชธ: www.habr.com