Пока не взломали

Хотя если без самообмана, fail2ban — это защита от мусора, а не от атаки. Брутфорс, кривые попытки логина, какая-то веб-помойка — да. DDoS — нет. Проблема очень простая. Fail2ban сначала должен дождаться, пока запрос долетит до nginx, попадет в лог, распарсится, и только потом IP уйдет в бан. То есть вся эта схема работает только тогда, когда сервер еще в состоянии спокойно жить и писать логи. А при нормальном флуде ничего он уже не успевает. Если у вас канал 100 мегабит, а туда прилетает 200 мегабит UDP, то на этом кино заканчивается. Канал забит, пакеты не доходят до приложения, логов нет, fail2ban ничего не видит...

Иногда смотришь на уязвимости и думаешь — ну ладно, бывает, сложная логика, хитрый баг. А иногда читаешь CVE и просто улыбаешься. Потому что это не «хакерская магия», а обычная человеческая расслабленность. В Nginx UI нашли CVE-2026-27944. Там есть эндпоинт /api/backup, который отдает бэкап конфигурации. И всё бы ничего, но авторизацию на него почему-то решили не вешать. Но самое красивое даже не это. В ответе вместе с архивом прилетает ключ для расшифровки этого самого бэкапа. Прямо в заголовке. То есть система буквально говорит: держи конфиг, держи ключ, пользуйся на здоровье. Мы с вами понимаем, что обычно лежит в таких бэкапах...

Семейный онлайн-бизнес, небольшой сайт, внезапно начинает захлёбываться. Заходит в логи — 400 000 уникальных IP за несколько часов колотят по главной странице. Для контекста: у них обычно 2-3 тысячи посетителей в день. Первая реакция — «Может это вирусный контент? Может нас кто-то упомянул?» Проверяет реферреры — тишина. Проверяет user agents — каша из Firefox, Chrome, Safari, всё как у людей. Вот только люди так не ходят: по 50 запросов в секунду с одного IP к одной и той же странице. Админ начинает банить через fail2ban. Через час понимает, что это как вычерпывать океан ложкой — IP меняются быстрее, чем он успевает добавлять правила...

в комментариях — квинтэссенция того, почему selfhosting и публичные сервисы живут в разных вселенных. Один юзер честно объясняет: «Бро, если кто-то захочет тебя положить — он положит. У тебя домашний канал 100-500 Мбит? Ботнет может гнать 100+ Гбит. Game over». Другой добавляет: «Cloudflare free tier — это единственный способ. Спрячь origin IP за прокси, молись чтобы не слили настоящий». Но самый вкусный комментарий от чувака, который попробовал: поднял сайт дома, через неделю словил атаку. Не какую-то терабитную историю — всего 2 Гбит UDP flood. Его домашний роутер от провайдера просто выключился от перегрева, пытаясь обработать миллионы пакетов в секунду...

Наконец-то дождались разговора по существу. Давайте разберем, что реально работает при защите от DDoS на типичных VPS, где канал — это не терабиты из презентаций, а скромные 100 Мбит–1 Гбит или 10 Гбит в лучшем случае. Начнем с неприятной правды: fail2ban + iptables — это защита от мусора, а не от DDoS. Когда у вас 100 Мбит канал и начинается даже небольшой UDP-флуд на 150–200 Мбит, fail2ban вообще ничего не успеет забанить — канал уже забит, пакеты не доходят до приложения, логи не пишутся. Fail2ban...