Habituellement, lorsque j’exécute un serveur web, j’utilise ce script en combinaison avec Cloudflare :
Je ne suis pas fan d’une adresse IP backend publique car elle peut être facilement trouvée avec Censys ou des outils similaires, même si elle est derrière un proxy inverse Cloudflare.
J’ai essayé de nombreuses façons de reproduire cela avec Discourse, mais cela ne fonctionne tout simplement pas.
J’ai également essayé ceci avec IPTables :
Quelqu’un a-t-il réussi à faire fonctionner une solution similaire avec Discourse ?
Je suis également d’accord avec lui, j’aimerais que le discours fonctionne comme ceci : si vous visitez une adresse IP directe, vous voyez un écran blanc ou littéralement n’importe quoi, abandonnez la connexion sans domaine, je ne sais pas.
Ça le ferait, empêche que l’adresse IP soit trouvée par DNS, Censys/Shodan, etc.
J’ai essayé de chercher sur Google comment autoriser uniquement CF mais pas beaucoup d’aide, je ne me souviens pas du résultat, et si j’autorise uniquement les IP de CF et que j’utilise la configuration de CF pour obtenir la vraie IP, cela ne la perturberait-il pas ? J’aimerais vraiment qu’il y ait une documentation.
Et je ne sais pas comment modifier la configuration nginx, quand j’entre dans l’application, je ne peux rien modifier, je suis un peu un noob désolé lol
Le modèle web ajoute une redirection pour l’adresse IP (et toute connexion), vous pourriez donc annuler cette partie.
Allowing Cloudflare IP addresses only in Nginx | inDev. Journal décrit comment autoriser uniquement les adresses IP de Cloudflare. Déterminer comment obtenir un modèle pour faire cela demande un peu de travail pour quelqu’un qui comprend les modèles, mais cela devrait être possible.
Non. La vraie adresse se trouve dans un autre en-tête.
c’est bien au-dessus de mes capacités, j’apprécie vraiment votre réponse, je lirai ces documents bientôt, j’espère que quelqu’un verra ceci qui a le temps et pourrait écrire quelque chose, j’ai déjà vu pas mal de messages ici concernant ce problème
À moins que vous n’exploitiez une communauté qui a déjà subi des attaques DDOS pour une raison particulière et que vous en attendiez davantage, je ne consacrerais pas plus de temps à y réfléchir. Il me faudrait une heure ou trois pour comprendre et documenter cela. J’installe Discourse pour des gens depuis longtemps et je n’ai jamais travaillé avec quelqu’un pour qui le DDOS était un problème réel.
J’administre un forum qui a déjà été ciblé auparavant, grâce à cf ils ont aidé (en utilisant le plan pro), mais ce serait bien de s’y “préparer” avant que cela n’arrive, il faut avoir la meilleure sécurité, n’est-ce pas ? mais oui je comprends, c’est beaucoup de travail.