mjj们，网站防火墙一般安装在哪台机器上？

形丹影之

      前几天逛论坛看到这个兄弟的帖子，https://www.91ai.net/thread-1214952-2-1.html   其中提到了CrowdSec这个东西，我查了一下，大概是一款在线的防火墙，类似faith2ban，可以分析日志拦截ip。 我目前有两台小鸡，一个做源站，一个做反代，那这个东西应该安装在哪台小鸡上？ 还是两台小鸡都要装一遍？
     另外宝塔面板的nginx防火墙，也是两台小鸡都安装吗？懂技术的mjj帮忙解答一下，谢谢。

hfhfg

防CC有必要这么复杂吗。。DD的话根本防不了，别人只要发包给你的服务器，堵塞带宽就可以，根本不需要你的服务器回复。

形丹影之

hfhfg 发表于 2023-10-14 16:01
防CC有必要这么复杂吗。。DD的话根本防不了，别人只要发包给你的服务器，堵塞带宽就可以，根本不需要你的服 ...

那一般用什么方案，想研究一下这方面的东西学习一下， 反代除了提速，就是用来保护源站不被打，只要源站ip不泄露，反代**了，再解析域名到cf上就行啊。

hfhfg

形丹影之 发表于 2023-10-14 16:07
那一般用什么方案，想研究一下这方面的东西学习一下， 反代除了提速，就是用来保护源站不被打，只要源站i ...

自己建立的反代只能提速，不能防打的。要防打只能上CF之类。

就像CC，是模拟真实用户大量访问，一般上档次的都是用不同的IP去模拟。如果楼主负责反代功能的小鸡/源小鸡性能不够，即使装了什么高端软件，CPU资源都耗尽了，那么就没有意义了。CF的话，开启验证码/5秒盾，就可以拦截，源服务器并不会受到任何压力。

笑花落半世琉璃

喜欢后端控制就放后端，但是你要解决真实ip的传递

形丹影之

hfhfg 发表于 2023-10-14 18:23
自己建立的反代只能提速，不能防打的。要防打只能上CF之类。

就像CC，是模拟真实用户大量访问，一般上 ...

         好的谢谢，我之前看到有个帖子里的思路比较好， 域名解析到线路好的反代机器上，保证网站的访问速度，别人攻击，把反代机打宕机了，就把域名切换到cf上，过段时间反代鸡恢复了，就自动把域名再切换到反代鸡上，这样网站访问速度又提上来了。 不愿意人工切换的话，用cf的api也可以切换