Olá Comunidade Discourse,
Normalmente, quando executo um servidor web, uso este script em combinação com o Cloudflare:
Não sou fã de um IP de backend público, pois ele pode ser facilmente encontrado com Censys ou similar, mesmo que esteja por trás do proxy reverso do Cloudflare.
Tentei muitas maneiras de reproduzir isso com o Discourse, mas simplesmente não funciona.
Também tentei isso com o IPTables:
Alguém conseguiu uma solução semelhante funcionando com o Discourse?
O Docker faz coisas que quebram o IPtables. Você deveria pesquisar isso no Google, eu acho.
Eu também concordo com ele, gostaria que o discurso funcionasse assim: se você visitar um IP direto, verá uma tela branca ou literalmente qualquer coisa, desconecte sem um domínio, sei lá
Eu acho que você poderia alterar a configuração do NGINX para que ele aceite conexões apenas do Cloudflare.
Você também poderia alterá-la para que não redirecione o IP “bare”, mas não tenho certeza se isso aumentaria muito a segurança.
Com certeza aumentaria, impede que o IP seja encontrado por DNS, censys/shodan etc.
Tentei pesquisar como permitir apenas CF, mas não ajudou muito, não me lembro qual foi o resultado, além disso, se eu permitir apenas IPs da CF e usar a configuração da CF para obter o IP real, isso não daria problema? Eu realmente adoraria se houvesse um documento.
E eu não sei como editar a configuração do nginx, quando entro no app, não consigo editar nada, sou um pouco noob, desculpe lol
O modelo da web adiciona um redirecionamento para o IP (e qualquer conexão), então você poderia desfazer essa parte.
Allowing Cloudflare IP addresses only in Nginx | inDev. Journal descreve como permitir apenas IPs do Cloudflare. Descobrir como fazer um modelo para isso dá um pouco de trabalho para quem entende de modelos, mas deve ser possível.
Não. O endereço real está em outro cabeçalho.
e o primeiro resultado (Packet filtering and firewalls | Docker Docs) descreve
Então você precisaria alterar o script do Cloudflare de acordo.
isso está muito acima do meu poder de processamento, aprecio sua resposta, lerei esses documentos em breve, espero que alguém veja isso que tenha tempo e possa escrever algo, já vi vários posts aqui sobre esse problema
A menos que você administre uma comunidade que tenha um histórico de ataques DDOS por algum motivo particular e espere mais, eu não gastaria mais seu tempo com isso. Levaria uma hora ou três para descobrir e documentar. Tenho configurado o Discourse para pessoas há muito tempo e nunca trabalhei com alguém para quem o DDOS fosse um problema real.
Eu administro um fórum que já foi alvo antes, graças ao cf eles ajudaram (usando o plano pro), mas seria ótimo “preparar” antes que aconteça, é preciso ter a melhor segurança, certo? mas sim, eu entendo, é muito trabalho.
Eu acho que o ChatGPT e o script da primeira postagem poderiam resolver isso.
Entendi, espero que o OP possa tentar isso, eu também darei uma olhada mais tarde, aprecio sua ajuda