Hemos estado utilizando un servicio de protección contra DDoS desde el principio, y su personal dice que es importante que nuestro software nunca exponga la IP de origen de ninguna manera.
Además de desactivar los correos electrónicos por completo, ¿hay alguna configuración que podamos poner en app.yml que ayude con esto a nivel global?
Por ejemplo, una de las cosas que me confunden es, en el momento en que Discourse emitirá un certificado SSL con Let’s Encrypt, ¿expondrá Discourse la IP de origen, o hará que Let’s Encrypt valide por URL, no por IP?
Es posible que Let’s Encrypt no se inscriba correctamente si el servidor no es directamente accesible. Si la nube naranja de Cloudflare está activada, por ejemplo, esto puede arruinar el desafío.
No puedes usar Let’s Encrypt. Necesitarán suministrar certificados en su proxy inverso.
Deberían proporcionar un servidor de correo electrónico que elimine tu IP de las cabeceras del correo, pero en realidad, filtrar tu IP no es un problema si configuras un firewall para el acceso a tu servidor y solo permites el acceso desde su servidor.
Tienen una opción en la que no descifran el tráfico seguro, es decir, si lo “transparentemente” proxy sin descifrar. Así que estaba pensando, ¿qué pasa si obtengo manualmente un certificado y lo instalo como se indica en este tema, y luego configuro ddos-guard para simplemente proxy transparentemente todo el tráfico https.
Para que conste, puedes obtener un certificado SSL para Nginx utilizando la validación DNS. El proceso es un poco complicado y requiere que utilices un proxy inverso de Nginx fuera del contenedor de Docker.