Proxy reverso de Cloudflare

Montei o servidor DNS usando o CloudFlare há alguns dias. Depois disso, descobri que a CloudFlare fornece proxy reverso. No estado "off-the-orange", eu posso conectar servidor através de ssh, mas no estado" orange", não é.

Agora sei que tenho de registar outros discos A como "ssh.domain.com" em "off-the-orange" então eu posso ter o que eu quero. Mas não sei se está certo.

Há outra maneira de ligar o servidor através de outro protocolo?

Author: ian park, 2016-01-07
Source

2 answers

O ícone" Nuvem laranja " na página DNS do seu Painel CloudFlare indica que todos os pedidos HTTP/HTTPs enviados para esse endereço serão encaminhados através do sistema proxy reverso da CloudFlare. Isto significa que todas as conexões irão realmente atingir o servidor de CloudFlare, em seguida, CloudFlare irá "proxy" a conexão e puxar a página do seu servidor web.

Quando se liga através da CloudFlare, não são criadas ligações directas entre o cliente e a sua web actual. servidor. Se você tiver um " um registro "no lugar para uma finalidade diferente dos pedidos HTTP, você precisará criar um novo registro sem o ícone da" nuvem Laranja".

Como criar um novo registo:

  1. Seleccione o sítio web para o qual gostaria de criar um novo registo.
  2. seleccione a página "DNS".
  3. Seleccione o tipo de registo que deseja criar.
  4. indique o nome do subdomínio ou do registo que deseja criar.
  5. indique os detalhes ou IP que você gostaria de chamar a atenção para este facto.

Exemplo: Example on how to create an "A" record for CloudFlare

Se criar um novo registo (como sshdirect.example.com) e aponte para o IP do seu servidor, e certifique-se de que o ícone da nuvem é cinza. Você pode então tentar se conectar a esse hostname em vez de seu padrão.

 0
Author: BinaryEvolved, 2016-01-08 03:44:53
Não, Não há outra maneira, é exactamente o que a Cloudflare espera que faças. eprevenção DDoS: proteger a origem . O Cloudflare não oferece proxy reverso sem protecção DDoS.

Se você tem apenas um domínio, você adiciona subdomain um registo para o servidor real, apontando para o IP do servidor. Em seguida, você adiciona o nome C para o site protegido. O Cloudflare usa o aplanamento do CNAME para que seja possível ter o CNAME como my-domain.com -> actual.my-domain.com.

Essa armadilha tem implicações de segurança: se alguém descobre o subdomínio, expõe o endereço IP real e o atacante pode contornar a proteção Cloudflare.

A Cloudflare DNS é muito rigorosa em como eles respondem. Eles não vazam nada, você tem que conhecer explicitamente domínio e tipo de registro para obter a resposta. Ie. digmy-domain.com ANY não dá nada, você tem que pedir um tipo de registro: dig my-domain.com A que retorna Cloudflare proxy IP. E obviamente, eles não respondem ao pedido AXFR. a única maneira de obter IP real da Cloudflare DNS é a força bruta. Tenho a sensação de que o Cloudflare pode detectar e bloquear essa tentativa. Claro que não queres confiar apenas na obscuridade. Algumas coisas que você poderia fazer para proteger o seu servidor no caso de IP / subdomain ser exposto:
  • throttle SSH connections (ufw tutorial)
  • configure o seu Servidor HTTP para responder apenas aos nomes das máquinas desejadas ie. E talvez www.my-domain.com (exemplo de nginx)
  • também podias negar as ligações HTTP que saem da rede Cloudflare .
 0
Author: Antti Pihlaja, 2017-05-23 12:33:39