Ciao Community di Discourse,
di solito, quando eseguo un webserver, utilizzo questo script in combinazione con Cloudflare:
Non mi piace un IP backend pubblico poiché può essere facilmente trovato con Censys o simili, anche se è dietro il proxy inverso di Cloudflare.
Ho provato molti modi per riprodurre questo con Discourse, ma semplicemente non funziona.
Ho anche provato questo con IPTables:
Qualcuno ha una soluzione simile funzionante con Discourse?
Docker fa cose che rompono iptables. Dovresti cercarlo su Google, credo.
Concordo anche con lui, vorrei che il discorso funzionasse così: se visiti un IP diretto vedi una schermata bianca o letteralmente qualsiasi cosa, interrompi la connessione senza un dominio, non lo so
Penso che potresti modificare la configurazione di NGINX in modo che accetti connessioni solo da Cloudflare.
Potresti anche modificarla in modo che non reindirizzi l’IP “bare”, ma non sono sicuro che ciò aumenterebbe molto la sicurezza.
Certo che lo farebbe, impedisce che l’IP venga trovato tramite DNS, censys/shodan, ecc.
Ho provato a cercare su Google come consentire solo CF ma non c’è stato molto aiuto, non ricordo quale sia stato il risultato, inoltre se consentissi solo gli IP di CF e stessi usando la configurazione di CF per ottenere l’IP reale, ciò causerebbe problemi? Mi piacerebbe davvero se ci fosse un documento.
e non so come modificare la configurazione di nginx, quando entro nell’app, non posso modificare nulla, mi dispiace, sono un po’ un noob lol
Il modello web aggiunge un reindirizzamento per l’IP (e qualsiasi connessione), quindi potresti annullare quella parte.
Allowing Cloudflare IP addresses only in Nginx | inDev. Journal descrive come consentire solo gli IP di Cloudflare. Capire come ottenere un modello che faccia questo richiede un po’ di lavoro per chi comprende i modelli, ma dovrebbe essere possibile.
No. L’indirizzo reale si trova in un altro header.
e il primo risultato (Packet filtering and firewalls | Docker Docs) descrive
Quindi dovresti modificare lo script di Cloudflare di conseguenza.
questo è al di sopra delle mie capacità cerebrali, apprezzo la tua risposta, leggerò presto quei documenti, spero che qualcuno veda questo che ha tempo e potrebbe scrivere qualcosa, ho già visto diversi post qui riguardo a questo problema
A meno che tu non gestisca una community che abbia una storia di attacchi DDOS per qualche motivo particolare e ti aspetti di più, non ci dedicherei altro tempo. Mi ci vorrebbe un’ora o tre per capirlo e documentarlo. Ho configurato Discourse per molte persone per molto tempo e non ho mai lavorato con qualcuno per cui il DDOS fosse un problema reale.
Gestisco un forum che è già stato preso di mira in passato, grazie a cf ci hanno aiutato (usando il piano pro), ma sarebbe fantastico “prepararsi” prima che accada, bisogna avere la migliore sicurezza, giusto? ma sì, capisco, è molto lavoro.
Penso che ChatGPT e lo script del primo post potrebbero risolverlo.
Capisco, spero che l’OP possa provarci, ci darò un’occhiata più tardi anch’io, apprezzo il tuo aiuto.