我们从一开始就使用 DDoS 防护服务,他们的工作人员表示,我们的软件绝不能以任何方式暴露源 IP。
除了完全关闭电子邮件之外,我们是否可以在 app.yml 中设置一些全局设置来帮助解决这个问题?
例如,让我感到困惑的一件事是,当 Discourse 使用 Let’s Encrypt 发行 SSL 证书时,Discourse 会暴露源 IP 吗?还是会让 Let’s Encrypt 通过 URL 而不是 IP 进行验证?
如果服务器无法直接访问,Let’s Encrypt 可能根本无法正确注册。例如,如果启用了 Cloudflare 的橙色云,这可能会干扰挑战。
是哪个服务?
1 个赞
这是 ddos-guard.net。
您不能使用 Let’s Encrypt。他们需要提供证书给他们的反向代理。
他们应该提供一个邮件服务器,该服务器会从邮件头中移除您的 IP 地址,但实际上,如果您防火墙了对您服务器的访问,只允许从他们的服务器访问,那么泄露您的 IP 地址也不是问题。
不确定为什么我不能?
他们有一个选项,可以选择不解密安全流量,即他们“透明地”代理流量而不解密。所以我在想,如果我手动获取一个证书并按照这个主题中的指导进行安装,然后配置 ddos-guard 来透明地代理所有 https 流量,会怎么样。
FWIW,你可以使用 DNS 验证为 nginx 获取 ssl 证书。该过程有点复杂,需要你在 docker 容器外部使用 nginx 反向代理。