haproxy 로 DDoS 방어하기

이전에 봤던 내용인데 급히 보고 싶을때 링크를 못찾아서 메모용 으로 작성.  https://www.haproxy.com/blog/application-layer-ddos-attack-protection-with-haproxy/ 모든 상황에 100% 대응 할 수 있는 방법은 아니지만 WAF나 ALB, Route53의 GeoLocation Routing등과 같이 다른 서비스와 병용 함으로서 어느 정도의 효과를 얻을 수 있을 듯 하다.

rsyslog에서 facility 없이 로그 내용 분리하기

 제목이 참 쓰기 애매한데 간단히 말하면 퍼실리티 없이 rsyslog에 전송된 로그 파일을 messages에 출력하지 않고 다른 파일로 따로 출력 하는 방법이다. wifi 라우터에서 syslog설정이 가능하기는 한데, facility설정이 없어서 어떻게 해야 하나 고민 하던중에 인터넷에서 찾은 해결방법을 기록한다.

 

알고보니 rsyslog 에서도 여러가지 옵션이 제공되고 있다. 현재 전송되고 있는 wifi 라우터는 총 3대로서 WDS기능을 이용하고 있지만 여러가지 사정으로 인해 모두 내부 IP를 지정해 놓은 상황이다. rsyslog.conf 를 변경해도 되겠지만, /etc/rsyslog.d/ 밑에 확장자를 conf로 해서 넣어놓으면 알아서 읽어들여주니 rsyslog.d밑에 파일을 작성했다.

:fromhost-ip, isequal, "192.168.1.2" -/var/log/airstation/WAPM-1166D-1.log
:fromhost-ip, isequal, "192.168.1.3" -/var/log/airstation/WAPM-1166D-2.log
:fromhost-ip, isequal, "192.168.1.4" -/var/log/airstation/WAPM-1166D-3.log

fromhost-ip 로 전송되는 IP를 구분하여 지정한 파일에 출력하는 방식인데, 위와 같이 한다면 messages에도 중복 출력되어 버린다. 해결방법은 아래와 같이 키워드를 추가하는 법이 있다. 처음에는 & ~ 를 지정하였으나 ~ 키워드는 없어질 예정이라 stop으로 대체해 주었다.

:fromhost-ip, isequal, "192.168.1.2" -/var/log/airstation/WAPM-1166D-1.log 
& stop
:fromhost-ip, isequal, "192.168.1.3" -/var/log/airstation/WAPM-1166D-2.log 
& stop
:fromhost-ip, isequal, "192.168.1.4" -/var/log/airstation/WAPM-1166D-3.log
& stop

조금 더 깔끔하게 해결하는 방법도 있겠지만, 할게 많아서 일단 돌아가니 요렇게 설정하고 끝냈다.

댓글

이 블로그의 인기 게시물

curl 명령어 옵션

CISCO 2960s 초기화 후 기본 설정

AWS에서 zabbix를 이용한 autoscaling ec2 자동등록/자동삭제