betul, port 80 itu biasanya dipake sama http server, bisa apache atau yang lain, tapi ditempat saya ada lighttpd buat reverse proxy make port 80 itu, mungkin ada miss di reply saya sebelumnya, dimana maksud saya adalah jika memang ada serangan dan fitur tersebut diaktifkan bagaimana dengan legitimate traffic dari user yang memang benar2 pembaca webnya bukan attacker, apakah mengalami penurunan atau bahkan drop akses sama sekali?
Tidak, karena pembaca/akses biasa tidak dideteksi sebagai attacker. Kan yang diblok cuma IP attacker doang?
Maka dari itu maksud penjelasan CT_Limits dimasukkan angka 50 itu:
"Bila ada IP yang terkoneksi dengan server Anda lebih dari 50 secara bersamaan, maka CSF akan memblok IP tersebut.
Dan pada CT_PORTS, jika Anda memasukkan port 80,25,2082,2086, maka 50 IP yang terkoneksi secara bersamaan, akan diblok aksesnya ke Apache, Mail, cPanel, & WHM.
Nah, jika dikosongkan CT_PORTS-nya, maka jika ada 50 IP yang terkoneksi secara bersamaan, CSF akan membloknya untuk mengakses ke seluruh ports."
oia, bagaimana dengan penggunaan CPHulk di WHM, apakah cukup berpengaruh jika di enable bilamana ada serangan?
CPHulk dengan CSF itu 1 fungsi. Cuma, karena CSF ini all in one, jadi lebih baik dipakai cukup yang 1 aja. Settingan di CPHulk itu ya yang saya beberkan rate synflood itu.
Termasuk, memperkuat argumen masbro diskonlagi:
menurut saya jika memungkinkan lebih baik filter synflood lebih di terapkan di sisi router selain juga disiapkan di CSF/Iptables servernya sehingga resource server tidak terlalu terbebani dengan handle load akibat brute force.
Makanya kan, settingan synflood di CSF itu didisable sesuai rekomendasi CSF? supaya ketika dirasa koneksi dirasa berat (terindikasi flood), baru diaktifkan.
SYNFLOOD = “0″
SYNFLOOD_RATE = “100/s”
SYNFLOOD_BURST = “150″
Semoga membantu :o
