Stiamo utilizzando un servizio di protezione ddos fin dall’inizio e il loro personale afferma che è importante che il nostro software non esponga mai l’IP di origine in alcun modo.
Oltre a disattivare completamente le email, ci sono impostazioni che possiamo inserire in app.yml che aiuteranno in questo senso a livello globale?
Ad esempio, una delle cose che mi confonde è, nel momento in cui Discourse emetterà un certificato SSL con Let’s Encrypt, Discourse esporrà l’IP di origine o farà in modo che Let’s Encrypt convalidi tramite URL, non tramite IP?
Let’s Encrypt potrebbe non registrarsi correttamente se il server non è direttamente accessibile. Se la nuvola arancione di Cloudflare è attiva, ad esempio, questo può compromettere la sfida.
Non è possibile utilizzare Let’s Encrypt. Sarà necessario fornire certificati sul loro reverse proxy.
Dovrebbero fornire un server di posta elettronica che rimuoverà il tuo IP dalle intestazioni delle e-mail, ma in realtà, la fuga del tuo IP non è un problema se si blocca l’accesso al server e si consente l’accesso solo dal loro server.
Non sono sicuro del perché non dovrei poterlo fare?
Hanno un’opzione in cui non decifrano il traffico sicuro, cioè se lo “proxyano” in modo trasparente senza decifrarlo. Stavo pensando, cosa succederebbe se ottenessi manualmente un certificato e lo installassi come guidato in questo argomento, e poi configurassi ddos-guard per proxyare in modo trasparente tutto il traffico https.
Per completezza, è possibile ottenere un certificato SSL per Nginx utilizzando la convalida DNS. Il processo è un po’ complicato e richiede l’uso di un proxy inverso Nginx al di fuori del container Docker.