mfwaf版nginx防火墙设置(开发者:牧飞)
宝塔面板,防御CC,防御ddos,图片验证码 滑动验证码
0. 安装请先关闭加固插件和防篡改插件[有条件的可以先弄个快照好还原]。
1. 安装先到Q群[226895834]下载更新导入最新版[本站下载]  
   (导入后不要更新插件,需要重启宝塔面板)
    也可以在ssh上直接通过命令安装或更新(默认): 
        cd /root && wget http://www.mufei.ltd/mfngxwaf/install && bash install
    如果觉得安装的慢,可以快速安装nginx.1.18.0版本命令:
        cd /root && wget http://www.mufei.ltd/mfngxwaf/install2 && bash install2
    要是配置ngx启动时出现libgd.so错误,请执行下面命令安装:
        wget http://www.mufei.ltd/mfngxwaf/mfngxwaf2.sh && bash mfngxwaf2.sh update 1.18
    其他安装方法(也许需要去掉--default才行):
        wget http://www.mufei.ltd/mfngxwaf/install.py && python install.py --default
    最后实在不行请先编译安装nginx再试试
        
模块参数: --add-module=/www/server/panel/plugin/mfngxwaf/nginx-python-module 编译安装后需要再执行以下此命令:wget http://www.mufei.ltd/mfngxwaf/install.py && python install.py --default centos6.X版本请使用此命令安装: wget http://www.mufei.ltd/mfngxwaf/waf_install.py && sudo python waf_install.py update auto [请注意:centos8系统必须先安装有Python2.7;安装命令:dnf install python2] 2. 配置防御CC策略 3. 配置IPset策略 4. 启动监控[服务器重启后必须手动开启] 5. 添加conf配置文件 6. 重新启动nginx. 7. 添加蜘蛛IP(须去掉注释符号<>) , 重启动ngx 8. 使用CDN的,或者反向代理的一定要把IP列表添加到CDN列表中去 要是不知道cdn的IP列表,请到兼容选项选择勾选cdn兼容规则X5. 使用CDN的,请不要设置IPSET的规则I1,I2(如果你设置了cf等的参数需要设置这两项) 使用CDN的,请不要设置监控规则M5,另请到CDN服务商加(/mfwaf-.*)为非缓存正则规则白名单且置顶 使用国外CDN的,请不要设置IPSET的规则I5 9. 使用图片验证码却无法显示验证码图片请到兼容处理卡选择规则X1。 10. 图片验证码页面需要兼容wap手机页面请替换此内容_captcha.txt 11. 若图片验证的图片一直重复,请在终端执行这行代码 pip install --upgrade Pillow 上述代码不行可以测试这行代码: pip install Pillow==5.4.1 -l (以上规则发生改变请先保存,再重新启动ngx) 12. 若监控启动后会停止请在服务器的终端执行 python /www/server/panel/plugin/mfngxwaf/mfwafnet.py 看看什么错误然后发给群请求帮忙 13. 下行语句添加到伪静态设置里面最前面. 有location的时候在里面添加. if ($uri ~ /mfwaf-) { break; } 14. 感觉过于严谨,出现验证页面过于频繁的话,可以把图片数字都*2设置即可。 15. 滑动验证可能会出现被破解,请使用图片验证和第一次就使用验证方式效果满满的 16. 暂时不用此插件;请关闭监控;另在nginx配置那include mfngxwaf.conf;前面加个#号即可。 17. 要是你的IP被防火墙IPSET纳入黑洞,无法进入面板,请切换IP或移动网络进入下面设置[也可以直接重起服务器即可]。 在ssh上执行ipset del mfwaf404 ip(改成你的) 可以删除该IP黑洞,也可以添加到白名单,记得重起ng和监控。 18. 目前防火墙配置导入后需要执行ssh命令一下: chown -R www.www /www/server/nginx/mfwaf 小白配置下载 高防御配置下载 带CDN配置下载 20. 想测试验证码,请选择[规则10]第一次就使用验证方式即可,记得保存后重起ng。 21. 若你没有购买大日志文件插件,历史日志请到/www/server/nginx/mfwaf/目录查看mfwaf.log文件 22. 如果您有支付回调,请把回调的路径path添加到规则A0[URL白名单](注意:问号及后面信息不要填写) 也可以添加支付回调IP到IP白名单中. 91. 最新版请到群里文件下载,此站点文件在正常情况下不是最新版本。 92. 本插件可以很好防御CC攻击,想防御更强大的流量DDOS攻击 或者想对单个URL灵活设置防御等赞助版功能 ************* 请进群咨询群主赞助版防火墙。










包括白名单黑名单蜘蛛名单CDN等ip类型可以为8.8.8.8|8.8.8.0/24|8.8.8.1-8.8.8.100类型