mfwaf版防火墙设置

mfwaf版nginx防火墙设置（开发者：牧飞）
宝塔面板，防御CC，防御ddos，图片验证码滑动验证码

0. 安装请先关闭加固插件和防篡改插件[有条件的可以先弄个快照好还原]。
1. 安装先到Q群[226895834]下载更新导入最新版[本站下载]  
   (导入后不要更新插件，需要重启宝塔面板)
    也可以在ssh上直接通过命令安装或更新(默认): 
        cd /root && wget http://www.mufei.ltd/mfngxwaf/install && bash install
    如果觉得安装的慢，可以快速安装nginx.1.18.0版本命令：
        cd /root && wget http://www.mufei.ltd/mfngxwaf/install2 && bash install2
    要是配置ngx启动时出现libgd.so错误，请执行下面命令安装：
        wget http://www.mufei.ltd/mfngxwaf/mfngxwaf2.sh && bash mfngxwaf2.sh update 1.18
    其他安装方法（也许需要去掉--default才行）：
        wget http://www.mufei.ltd/mfngxwaf/install.py && python install.py --default
    最后实在不行请先编译安装nginx再试试
        

       模块参数:  --add-module=/www/server/panel/plugin/mfngxwaf/nginx-python-module
       编译安装后需要再执行以下此命令：wget http://www.mufei.ltd/mfngxwaf/install.py && python install.py --default
	   centos6.X版本请使用此命令安装:
	wget http://www.mufei.ltd/mfngxwaf/waf_install.py && sudo python waf_install.py update auto
    或wget http://www.mufei.ltd/mfngxwaf/waf_install2.py && sudo python waf_install2.py update auto	
    
        
    
   [请注意:centos8系统必须先安装有Python2.7;安装命令:dnf install python2]
2. 配置防御CC策略
3. 配置IPset策略
4. 启动监控[服务器重启后必须手动开启]
5. 添加conf配置文件
6. 重新启动nginx.

7. 添加蜘蛛IP(须去掉注释符号<>) , 重启动ngx
8. 使用CDN的，或者反向代理的一定要把IP列表添加到CDN列表中去
   要是不知道cdn的IP列表，请到兼容选项选择勾选cdn兼容规则X5．
   使用CDN的，请不要设置IPSET的规则I1,I2（如果你设置了cf等的参数需要设置这两项）
   使用CDN的,请不要设置监控规则M5,另请到CDN服务商加(/mfwaf-.*)为非缓存正则规则白名单且置顶
   使用国外CDN的，请不要设置IPSET的规则I5
   
9.  使用图片验证码却无法显示验证码图片请到兼容处理卡选择规则X1。
10. 图片验证码页面需要兼容wap手机页面请替换此内容_captcha.txt
11. 若图片验证的图片一直重复，请在终端执行这行代码 pip install --upgrade Pillow 
    上述代码不行可以测试这行代码: pip install Pillow==5.4.1 -l
   （以上规则发生改变请先保存，再重新启动ngx）
12. 若监控启动后会停止请在服务器的终端执行 python /www/server/panel/plugin/mfngxwaf/mfwafnet.py 
    看看什么错误然后发给群请求帮忙
13. 下行语句添加到伪静态设置里面最前面. 有location的时候在里面添加.
    if ($uri ~ /mfwaf-) { break;  }
    
14. 感觉过于严谨，出现验证页面过于频繁的话，可以把图片数字都*2设置即可。
15. 滑动验证可能会出现被破解，请使用图片验证和第一次就使用验证方式效果满满的
16. 暂时不用此插件；请关闭监控；另在nginx配置那include mfngxwaf.conf;前面加个#号即可。


17. 要是你的IP被防火墙IPSET纳入黑洞，无法进入面板，请切换IP或移动网络进入下面设置[也可以直接重起服务器即可]。
    在ssh上执行ipset del mfwaf404 ip(改成你的) 可以删除该IP黑洞，也可以添加到白名单，记得重起ng和监控。
18. 目前防火墙配置导入后需要执行ssh命令一下: 
        chown -R www.www  /www/server/nginx/mfwaf
    小白配置下载  高防御配置下载  带CDN配置下载
    
20. 想测试验证码，请选择[规则10]第一次就使用验证方式即可，记得保存后重起ng。
21. 若你没有购买大日志文件插件,历史日志请到/www/server/nginx/mfwaf/目录查看mfwaf.log文件
22. 如果您有支付回调,请把回调的路径path添加到规则A0[URL白名单](注意:问号及后面信息不要填写)
    也可以添加支付回调IP到IP白名单中.

91. 最新版请到群里文件下载，此站点文件在正常情况下不是最新版本。
92. 本插件可以很好防御CC攻击，想防御更强大的流量DDOS攻击 或者想对单个URL灵活设置防御等赞助版功能
    ************* 请进群咨询群主赞助版防火墙。
包括白名单黑名单蜘蛛名单CDN等ip类型可以为8.8.8.8|8.8.8.0/24|8.8.8.1-8.8.8.100类型