Hola Comunidad de Discourse,
Normalmente, cuando ejecuto un servidor web, utilizo este script en combinación con Cloudflare:
No soy partidario de una IP de backend pública, ya que se puede encontrar fácilmente con Censys o similar, incluso si está detrás del proxy inverso de Cloudflare.
He intentado muchas maneras de reproducir esto con Discourse, pero simplemente no funciona.
También probé esto con IPTables:
¿Alguien ha conseguido que una solución similar funcione con Discourse?
Docker hace cosas que rompen IP tables. Deberías buscar eso en Google, creo.
También estoy de acuerdo con él, desearía que el discurso funcionara así: si visitas una IP directa, ves una pantalla en blanco o literalmente cualquier cosa, desconecta sin un dominio, no sé.
Creo que podrías cambiar la configuración de NGINX para que solo acepte conexiones de Cloudflare.
También podrías cambiarla para que no redirija la IP “bare”, pero no estoy seguro de que eso aumente mucho la seguridad.
Claro que sí, evita que la IP sea encontrada por DNS, censys/shodan, etc.
Intenté buscar en Google cómo permitir solo CF pero no obtuve mucha ayuda, no recuerdo cuál fue el resultado, además, si solo permito las IP de CF y uso la configuración de CF para obtener la IP real, ¿eso lo estropearía? Realmente me encantaría si hubiera un documento.
y no sé cómo editar la configuración de nginx, cuando entro en la aplicación, no puedo editar nada, soy un poco novato, lo siento, ¡jaja!
La plantilla web añade una redirección para la IP (y cualquier conexión), por lo que podrías deshacer esa parte.
Allowing Cloudflare IP addresses only in Nginx | inDev. Journal describe cómo permitir solo IPs de Cloudflare. Averiguar cómo hacer que una plantilla haga eso es un poco de trabajo para alguien que entienda las plantillas, pero debería ser posible.
No. La dirección real está en otra cabecera.
y el primer resultado (Packet filtering and firewalls | Docker Docs) describe
Así que necesitarías cambiar el script de Cloudflare en consecuencia.
esto está por encima de mi capacidad cerebral, aprecio tu respuesta, leeré esos documentos pronto, espero que alguien vea esto que tenga tiempo y pueda escribir algo, ya he visto bastantes publicaciones aquí sobre este problema.
A menos que administres una comunidad que tenga un historial de ataques DDOS por alguna razón en particular y esperes más, no dedicaría más tiempo a ello. Me llevaría una hora o tres descifrarlo y documentarlo. Llevo mucho tiempo configurando Discourse para personas y nunca he trabajado con alguien para quien DDOS fuera un problema real.
Administro un foro que ya ha sido atacado antes, gracias a CF me ayudaron (usando el plan Pro), pero sería genial “prepararse” antes de que suceda, hay que tener la mejor seguridad, ¿verdad? pero sí, lo entiendo, es mucho trabajo.
Creo que ChatGPT y el script de la primera publicación podrían resolverlo.
Entiendo, espero que OP pueda intentarlo, yo también echaré un vistazo más tarde, aprecio tu ayuda.