最初からDDoS保護サービスを利用しており、その担当者からは、ソフトウェアがオリジンIPを一切公開しないことが重要だと言われています。
メールを完全にオフにする以外に、これをグローバルに役立てるために app.yml に設定できるものはありますか?
例えば、混乱する点の一つは、DiscourseがLet’s EncryptでSSL証明書を発行する際、DiscourseはオリジンIPを公開するのか、それともLet’s EncryptがIPではなくURLで検証するようにするのかということです。
Cloudflareのオレンジ色の雲が有効になっている場合など、サーバーに直接アクセスできない場合、Let’s Encryptは正しく登録されない可能性があります。これはチャレンジを台無しにする可能性があります。
どのサービスですか?
「いいね!」 1
それは ddos-guard.net です。
Let’s Encrypt は使用できません。リバースプロキシで証明書を供給する必要があります。
IPアドレスをメールヘッダーから削除するメールサーバーを提供する必要がありますが、実際には、サーバーへのアクセスをファイアウォールで保護し、相手のサーバーからのアクセスのみを許可する場合、IPアドレスが漏洩しても問題ありません。
なぜ使用できないのかわかりません。
トラフィックを復号しないオプションがあります。つまり、「透過的に」プロキシする場合、復号しません。そこで、証明書を手動で取得し、このトピックでガイドされているようにインストールし、ddos-guard を設定してすべての HTTPS トラフィックを透過的にプロキシするようにしました。
参考までに、DNS検証を使用してnginxのSSL証明書を取得できます。プロセスは少し複雑で、nginxリバースプロキシをDockerコンテナの外で使用する必要があります。