Я хотел бы разрешить только HTTP (S) трафик, исходящий от CloudFlare. Таким образом злоумышленники не могут атаковать сервер напрямую. Я знаю, что CloudFlare в основном не является средством защиты от DDoS-атак, но я бы хотел попробовать его в любом случае.
В настоящее время у меня есть доступ только к iptables (только ipv4), но скоро я попытаюсь установить ip6tables. Мне просто нужно как можно скорее это исправить. (мы получаем (D) DoSed атм.)
Я думал примерно так:
iptables -I INPUT -s <CloudFlare IP> --dport 80 -j ACCEPT
iptables -I INPUT -s <CloudFlare IP> --dport 443 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP
Я знаю, что CloudFlare имеет несколько IP-адресов, но только для примера.
Будет ли это правильный путь?
Да, это сработает. Вы также можете использовать! отрицать вот так:
iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 80 -j DROP
iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 443 -j DROP