吐槽1Panel免费版WAF

https://www.luyii.cn/archives/tu-cao-1panelmian-fei-ban-waf
前不久,1Panel推出了专业版,其中有一WAF功能

其中这一个WAF防火墙,官方标称基础功能

到了实际使用你就会发现:

怎么日志都要专业版?

于是,在你用1Panel部署Halo建站时

将要保存文章

image.png|100%x100%

没错

1Panel WAF搞的鬼

因为没有WAF日志

这个问题我排查了一下午

解决方法 image-zcly.png|450pxx173px

1 个赞

谢邀,我是宝塔专业版

1p我吐槽最多的就是“只收录知名且活跃的开源项目”

image

注意!halo不需要开启1p的waf,因为halo足够安全(来自halo负责人的消息),如果需要使用1p的waf,关闭xss之类的规则即可(来自1p程老板的消息)

1.世界上没有绝对安全
2.以Halo令人堪忧的负载,不得不使用waf

用那个啥,长亭的雷池 WAF 罢,1p里面有

我有单独的机子反代接人,也有直接t1k接入,但是1p更新waf之后怎么折腾还没研究

1P官方镜像是南墙,第三方才有雷池,但是还要注意,如果在一个服务器上部署,那么你的OpenResty不能占用80和443端口


添加一个规则就行,api的放行范围太大了

雷池的waf, 其实有明显的缺点, 他那个拦截网页后, 会返回一堆的html, 大约100kb.
也就是说, 我只要单台电脑cc, 使劲的cc, 照样能干掉你的服务器的资源和宽带.

如果你想要返回503状态码和空的网页. 抱歉, 收费. 免费版不给你这样.

总结来说, 免费版, 用雷池, 就是找死…