normalerweise verwende ich beim Ausführen eines Webservers dieses Skript in Kombination mit Cloudflare:
Ich bin kein Fan einer öffentlichen Backend-IP, da diese leicht mit Censys oder ähnlichem gefunden werden kann, selbst wenn sie hinter einem Cloudflare-Reverse-Proxy liegt.
Ich habe versucht, dies auf verschiedene Weise mit Discourse zu reproduzieren, aber es funktioniert einfach nicht.
Ich habe dies auch mit IPTables versucht:
Hat jemand eine ähnliche Lösung mit Discourse zum Laufen gebracht?
Ich stimme ihm auch zu, ich wünschte, der Diskurs würde so funktionieren: Wenn Sie eine direkte IP-Adresse besuchen, sehen Sie einen weißen Bildschirm oder buchstäblich irgendetwas, trennen Sie die Verbindung ohne Domain, keine Ahnung
Ich denke, Sie könnten die NGINX-Konfiguration so ändern, dass sie nur Verbindungen von Cloudflare akzeptiert.
Sie könnten sie auch so ändern, dass sie die bloße IP-Adresse nicht umleitet, aber ich bin mir nicht sicher, ob das die Sicherheit wesentlich erhöhen würde.
Das würde es sicherlich, es verhindert, dass die IP-Adresse über DNS, Censys/Shodan usw. gefunden wird.
Ich habe versucht, danach zu googeln, wie man nur CF zulässt, aber nicht viel Hilfe, ich erinnere mich nicht an das Ergebnis, und wenn ich nur CF-IPs zulasse und die CF-Konfiguration verwende, um die echte IP zu erhalten, würde das das durcheinander bringen? Ich würde es wirklich lieben, wenn es ein Dokument gäbe.
Und ich weiß nicht, wie man die Nginx-Konfiguration bearbeitet. Wenn ich die App aufrufe, kann ich nichts bearbeiten, ich bin ein bisschen ein Noob, sorry lol
Die Webvorlage fügt eine Umleitung für die IP (und jede Verbindung) hinzu, sodass Sie diesen Teil rückgängig machen könnten.
Allowing Cloudflare IP addresses only in Nginx | inDev. Journal beschreibt, wie man nur Cloudflare-IPs zulässt. Herauszufinden, wie man eine Vorlage dazu bringt, das zu tun, ist etwas Arbeit für jemanden, der die Vorlagen versteht, aber es sollte möglich sein.
Nein. Die echte Adresse steht in einem anderen Header.
Das übersteigt meine Kapazität, ich weiß Ihre Antwort zu schätzen, ich werde diese Dokumente bald lesen, ich hoffe, jemand sieht das, der Zeit hat und etwas schreiben könnte, ich habe hier schon einige Beiträge zu diesem Thema gesehen
Es sei denn, Sie betreiben eine Community, die aus irgendeinem Grund eine Geschichte von DDOS-Angriffen hat und mehr erwartet, würde ich nicht mehr Gehirn darauf verwenden. Es würde mich ein bis drei Stunden kosten, das herauszufinden und zu dokumentieren. Ich richte seit langem Discourse für Leute ein und habe noch nie mit jemandem zusammengearbeitet, für den DDOS ein tatsächliches Problem war.
Ich betreibe ein Forum, das bereits ins Visier genommen wurde, dank CF haben sie geholfen (mit dem Pro-Plan), aber es wäre großartig, sich darauf vorzubereiten, bevor es passiert, man muss die beste Sicherheit haben, oder? Aber ja, ich verstehe, es ist viel Arbeit.