Estamos usando um serviço de proteção contra DDoS desde o início, e a equipe deles diz que é importante que nosso software nunca exponha o IP de origem de forma alguma.
Além de desativar completamente os e-mails, existem configurações que podemos colocar em app.yml que ajudarão com isso globalmente?
Por exemplo, uma das coisas que me confunde é, no momento em que o Discourse emitirá um certificado SSL com o Let’s Encrypt, o Discourse exporá o IP de origem ou fará com que o Let’s Encrypt valide por URL, não por IP?
O Let’s Encrypt pode não ser registrado corretamente se o servidor não for diretamente acessível. Se a nuvem laranja do Cloudflare estiver ativada, por exemplo, isso pode atrapalhar o desafio.
Você não pode usar o Let’s Encrypt. Eles precisarão fornecer certificados em seu proxy reverso.
Eles devem fornecer um servidor de e-mail que removerá seu IP dos cabeçalhos de e-mail, mas, na verdade, vazar seu IP não é um problema se você configurar um firewall para o acesso ao seu servidor e permitir o acesso apenas do servidor deles.
Eles têm uma opção onde não descriptografam o tráfego seguro, ou seja, se eles “transparentemente” o encaminham sem descriptografar. Então eu estava pensando, e se eu obtiver manualmente um certificado e instalá-lo conforme guiado neste tópico, e configurar o ddos-guard para apenas encaminhar transparentemente todo o tráfego https.
Para que conste, você pode obter um certificado SSL para o Nginx usando validação DNS. O processo é um pouco complicado e requer que você use um proxy reverso Nginx fora do contêiner Docker.