Nous utilisons un service de protection DDoS depuis le tout début, et leur personnel affirme qu’il est important que notre logiciel n’expose jamais l’adresse IP d’origine de quelque manière que ce soit.
Outre la désactivation complète des e-mails, existe-t-il des paramètres que nous pouvons configurer dans app.yml qui aideront à cet égard globalement ?
Par exemple, l’une des choses qui me laisse perplexe est que, au moment où Discourse émettra un certificat SSL avec Let’s Encrypt, Discourse exposera-t-il l’adresse IP d’origine, ou fera-t-il en sorte que Let’s Encrypt valide par URL, et non par adresse IP ?
Let’s Encrypt peut ne pas s’inscrire correctement du tout si le serveur n’est pas directement accessible. Si le nuage orange de Cloudflare est activé, par exemple, cela peut perturber le défi.
Vous ne pouvez pas utiliser Let’s Encrypt. Ils devront fournir des certificats sur leur proxy inverse.
Ils devraient fournir un serveur de messagerie qui supprimera votre adresse IP des en-têtes d’e-mail, mais en réalité, la fuite de votre adresse IP n’est pas un problème si vous configurez un pare-feu pour l’accès à votre serveur et n’autorisez l’accès qu’à partir de leur serveur.
Je ne suis pas sûr pourquoi je ne le pourrais pas ?
Ils ont une option où ils ne décryptent pas le trafic sécurisé, c’est-à-dire qu’ils le font transiter « de manière transparente » sans le décrypter. J’ai donc pensé, et si j’obtenais manuellement un certificat et l’installais comme guidé dans ce sujet, et que je configurais ensuite ddos-guard pour simplement faire transiter tout le trafic https de manière transparente.
Pour information, vous pouvez obtenir un certificat SSL pour Nginx en utilisant la validation DNS. Le processus est un peu complexe et nécessite l’utilisation d’un proxy inverse Nginx en dehors du conteneur Docker.