Wir nutzen von Anfang an einen DDoS-Schutzdienst, und deren Mitarbeiter sagen, es sei wichtig, dass unsere Software niemals die Origin-IP in irgendeiner Weise preisgibt.
Gibt es neben dem vollständigen Ausschalten von E-Mails Einstellungen, die wir in app.yml vornehmen können, um dies global zu unterstützen?
Zum Beispiel verwirrt mich eines: Wenn Discourse ein SSL-Zertifikat von Let’s Encrypt ausstellt, wird Discourse dann die Origin-IP preisgeben oder Let’s Encrypt die Validierung per URL und nicht per IP durchführen lassen?
Let’s Encrypt lässt sich möglicherweise nicht richtig registrieren, wenn der Server nicht direkt erreichbar ist. Wenn beispielsweise die orangefarbene Wolke von Cloudflare aktiviert ist, kann dies die Herausforderung beeinträchtigen.
Sie können Let’s Encrypt nicht verwenden. Sie müssen Zertifikate für ihren Reverse-Proxy bereitstellen.
Sie sollten einen E-Mail-Server bereitstellen, der Ihre IP-Adresse aus den E-Mail-Headern entfernt. Aber wirklich, das Leaken Ihrer IP ist kein Problem, wenn Sie den Zugriff auf Ihren Server per Firewall absichern und den Zugriff nur von ihrem Server zulassen.
Ich bin mir nicht sicher, warum ich das nicht kann?
Sie haben eine Option, bei der sie keinen sicheren Datenverkehr entschlüsseln, d. h. wenn sie ihn “transparent” ohne Entschlüsselung weiterleiten. Ich dachte also, was wäre, wenn ich manuell ein Zertifikat abrufe und es wie in diesem Thema beschrieben installiere und dann ddos-guard so konfiguriere, dass es einfach allen HTTPS-Verkehr transparent weiterleitet.
FWIW können Sie ein SSL-Zertifikat für Nginx mit DNS-Validierung erhalten. Der Prozess ist etwas kompliziert und erfordert die Verwendung eines Nginx-Reverse-Proxys außerhalb des Docker-Containers.