Я недавно настроил haproxy, и я хотел бы предложить, как улучшить настройки моих правил порта, не являющихся http (TCP).
Иногда мой сервер может быть целью DDoS-атак, поэтому я стремлюсь улучшить фильтрацию / защиту от DDoS на портах TCP.
В настоящее время я использую следующие настройки в haproxy для моих правил TCP.
Любой совет будет оценен.
frontend tcp_front
bind *:4220-4238
mode tcp
option tcplog
timeout client 1m
tcp-request content track-sc0 src table per_ip_connections
tcp-request content reject if { sc_conn_cur(0) gt 25 } || { sc_conn_rate(0) gt 10 }
default_backend tcp_back
backend tcp_back
mode tcp
timeout server 1m
server server1 xx.xx.xx.xx check port 4220
frontend per_ip_connections
stick-table type ip size 1m expire 1m store conn_cur,conn_rate(1m)