Hi Discourse Community,
通常、Webサーバーを実行する際には、Cloudflareと組み合わせてこのスクリプトを使用しています。
Cloudflareの逆プロキシの背後にある場合でも、Censysなどで簡単に見つけられる可能性があるため、公開バックエンドIPは好きではありません。
Discourseでこれを再現しようとしましたが、うまくいきませんでした。
IPTablesでも試しました。
Discourseで同様のソリューションを動作させた方はいらっしゃいますか?
DockerはIPテーブルを壊すようなことをします。ググってみてください。
私も彼に同意します。ディスコースは次のように機能することを願っています。直接IPにアクセスすると、白い画面または文字通りのものしか表示されず、ドメインなしで接続が切断されることを願っています。
Cloudflare からの接続のみを受け入れるように NGINX の設定を変更できると思います。
ベア IP をリダイレクトしないように変更することもできますが、セキュリティが大幅に向上するかどうかはわかりません。
DNS、censys/shodanなどによるIPの検出を防ぐことができるので、間違いなく向上します。
cfのみを許可する方法をグーグルで検索してみましたが、あまり役に立ちませんでした。結果はどうだったか覚えていません。また、cfのIPのみを許可し、cfの設定を使用して実際のIPを取得している場合、それは問題になりますか?ドキュメントがあれば本当に嬉しいです。
また、nginxの設定を編集する方法がわかりません。アプリに入っても何も編集できません。私は少し初心者なので、すみません(笑)
ウェブテンプレートはIP(およびあらゆる接続)のリダイレクトを追加するため、その部分は元に戻すことができます。
Allowing Cloudflare IP addresses only in Nginx | inDev. Journal は、CloudflareのIPのみを許可する方法を説明しています。テンプレートを理解している人にとっては、それを実現するテンプレートを作成するのは少し手間がかかりますが、可能であるはずです。
いいえ。実際のIPアドレスは別のヘッダーにあります。
そして、最初の検索結果(https://docs.docker.com/network/packet-filtering-firewalls/)には次のように記載されています。
したがって、Cloudflareスクリプトをそれに応じて変更する必要があります。
「いいね!」 1
私の脳力では手に負えません。ご回答に感謝いたします。すぐにそのドキュメントを読みます。誰か時間のある人が見て、何か書いてくれることを願っています。この問題については、すでにかなりの投稿を見てきました。
特別な理由で DDOS 攻撃の履歴があるコミュニティを運営しており、さらに攻撃を予想しているのでない限り、これ以上時間を費やす必要はないでしょう。それを理解して文書化するには 1 ~ 3 時間かかります。私は長い間、人々のために Discourse をセットアップしてきましたが、DDOS が実際に問題となった相手はいませんでした。
以前にも標的にされたことがあるフォーラムを運営していますが、Cloudflareのおかげで(Proプランを使用)助かりました。しかし、それが起こる前に「準備」できると素晴らしいですよね?最高のセキュリティを持つべきですよね?でも、大変な作業であることは理解しています。
「いいね!」 1
ChatGPTと最初の投稿のスクリプトで解決できると思います。
なるほど、OPがそれを試せることを願っています。私も後で見てみます。助けてくれてありがとう。
「いいね!」 1