Proxy reverso de Cloudflare
2 answers
O ícone" Nuvem laranja " na página DNS do seu Painel CloudFlare indica que todos os pedidos HTTP/HTTPs enviados para esse endereço serão encaminhados através do sistema proxy reverso da CloudFlare. Isto significa que todas as conexões irão realmente atingir o servidor de CloudFlare, em seguida, CloudFlare irá "proxy" a conexão e puxar a página do seu servidor web.
Quando se liga através da CloudFlare, não são criadas ligações directas entre o cliente e a sua web actual. servidor. Se você tiver um " um registro "no lugar para uma finalidade diferente dos pedidos HTTP, você precisará criar um novo registro sem o ícone da" nuvem Laranja".Como criar um novo registo:
- Seleccione o sítio web para o qual gostaria de criar um novo registo.
- seleccione a página "DNS".
- Seleccione o tipo de registo que deseja criar.
- indique o nome do subdomínio ou do registo que deseja criar.
- indique os detalhes ou IP que você gostaria de chamar a atenção para este facto.
Se criar um novo registo (como sshdirect.example.com) e aponte para o IP do seu servidor, e certifique-se de que o ícone da nuvem é cinza. Você pode então tentar se conectar a esse hostname em vez de seu padrão.
Se você tem apenas um domínio, você adiciona subdomain um registo para o servidor real, apontando para o IP do servidor. Em seguida, você adiciona o nome C para o site protegido. O Cloudflare usa o aplanamento do CNAME para que seja possível ter o CNAME como my-domain.com -> actual.my-domain.com
.
Essa armadilha tem implicações de segurança: se alguém descobre o subdomínio, expõe o endereço IP real e o atacante pode contornar a proteção Cloudflare.
A Cloudflare DNS é muito rigorosa em como eles respondem. Eles não vazam nada, você tem que conhecer explicitamente domínio e tipo de registro para obter a resposta. Ie.dig
my-domain.com ANY
não dá nada, você tem que pedir um tipo de registro: dig my-domain.com A
que retorna Cloudflare proxy IP. E obviamente, eles não respondem ao pedido AXFR. a única maneira de obter IP real da Cloudflare DNS é a força bruta. Tenho a sensação de que o Cloudflare pode detectar e bloquear essa tentativa.
Claro que não queres confiar apenas na obscuridade. Algumas coisas que você poderia fazer para proteger o seu servidor no caso de IP / subdomain ser exposto:
- throttle SSH connections (ufw tutorial)
- configure o seu Servidor HTTP para responder apenas aos nomes das máquinas desejadas ie. E talvez
www.my-domain.com
(exemplo de nginx) - também podias negar as ligações HTTP que saem da rede Cloudflare .