さくらのVPSを使っているのですが、パケットフィルタ設定でSSHのポートに制限をかけたついでにHTTP(80番ポート)でのアクセスをブロックするようにしました。

だいたい下記のような動機です。

  • 悪質なBot・リファラが結構HTTPの方でアクセスしてくる
  • nginxの設定わざわざやるのがめんどい
    • 既にやってしまっているけど…

このサイトは2016年の3月からやっていて、HTTP -> HTTPSのリダイレクトも含めて2016年の末にはHTTPSに移行していたので、HTTPで運用していたのはわずか9ヶ月程度だ。HTTPSあるのにHTTPでリンク張る人とかいないと思うので、そういう辺りを加味すると、他サイトからHTTPでリンク張っている人はごく少数だと思う。ログはざっとしか見てないけど、影響は限りなく少ないといっても差支えないと思う。

悪質なBot等は将来的にnginxのプラグインやWAFでブロックしてもっと弾きマクリスティしたいけれども、そもそもさくらのVPSのパケットフィルタでサーバの前でブロックできるんならそうした方がいいし、そんなかんじ。

今使っているインスタンスは過去いろいろと実験台にしたためにとっ散らかっていたりするし、さくらのVPS v4なのでv5に上げるついでに一から構築しなおすか、とか。そういうのもある。その時に次回のインスタンスではnginxの設定を簡素に保ちたい(リダイレクトとかやらなくていいならやらない方がいい)とかそういうのもあって、その前段で今のうちから弾いておこうかなと思ったなどで候。

ちなみに今までの記事内で時々さくらからLightSailに移したいとか書いてたけど、さくらの方がCPUのベンチがいいみたいだし、パケットフィルタできるんならさくらで良いかな(実に3年以上の間できることを知らなかった)という気がしてきているので、次もさくらにすると思う。むしろスナップショットが取れるようになったら今のLightSailも止めてさくらに移すと思う。