您好,Discourse 社区:
通常,当我运行 Web 服务器时,我会将此脚本与 Cloudflare 结合使用:
我不喜欢公开的后端 IP,因为它即使在 Cloudflare 反向代理后面也很容易被 Censys 或类似工具找到。
我尝试了多种方法来重现 Discourse 的这种情况,但就是无法成功。
我也尝试过使用 IPTables:
有人成功地为 Discourse 实现了类似的解决方案吗?
Docker 会执行一些破坏 IP 表的操作。我猜你应该去谷歌搜索一下。
我也同意他的观点,希望讨论能像这样进行:如果你直接访问IP地址,你会看到一个白屏或者任何东西,断开与域名的连接,我不知道
我认为您可以更改 NGINX 配置,使其仅接受来自 cloudflare 的连接。
您也可以更改它,使其不重定向裸 IP,但我不太确定这是否会大大提高安全性。
当然会,可以防止通过 DNS、censys/shodan 等查找 IP。
我尝试搜索了如何仅允许 cf,但帮助不大,我不记得结果是什么了,而且如果仅允许 cf IP,并且我使用 cf 配置来获取真实 IP,这会弄乱它吗?我真的很希望有文档。
而且我不知道如何编辑 nginx 配置,当我进入应用程序时,无法编辑任何内容,抱歉,我有点菜鸟 lol
Web 模板会为 IP(以及任何连接)添加重定向,因此您可以撤销该部分。
Allowing Cloudflare IP addresses only in Nginx | inDev. Journal 描述了如何仅允许 Cloudflare IP。对于了解模板的人来说,弄清楚如何实现这一点需要一些工作,但这应该是可能的。
不会。真实地址在另一个标头中。
第一个搜索结果(https://docs.docker.com/network/packet-filtering-firewalls/)描述了
因此,您需要相应地更改 Cloudflare 脚本。
1 个赞
这超出了我的能力范围,但我很感谢你的回复,我会尽快阅读那些文档。希望有人能看到并写些东西,我已经在这里看到不少关于这个问题的帖子了。
除非你运营着一个因为某些特殊原因而遭受过DDOS攻击历史的社区,并且你预计会再次发生,否则我不会再花心思在这上面了。我需要一到三个小时来弄清楚并记录下来。我长期以来一直在为人们设置Discourse,从未遇到过DDOS攻击是一个实际问题的客户。
我确实经营着一个以前曾被攻击过的论坛,多亏了 Cloudflare(使用的是专业套餐),他们提供了帮助,但最好是在攻击发生之前就做好“准备”,毕竟安全第一,对吧?但我也明白,这需要大量的工作。
1 个赞
我认为 ChatGPT 和第一个帖子中的脚本可以解决它。
好的,希望 OP 能尝试一下,我晚点也会看看,感谢你的帮助。
1 个赞