Назад | Перейти на главную страницу

Разрешение трафика только от Cloudflare

Я новичок в администрировании системы Linux, и я экспериментирую с iptables, пытаясь узнать, как действительно заблокировать систему с их помощью. И один мой друг порекомендовал, чтобы был способ пропускать весь входящий трафик через Cloudflare, чтобы даже если злоумышленники разрешили IP-адрес сервера, они все равно не смогли (D) сделать это напрямую.

Это именно то, что они сказали: «Просто настройте iptables своих серверов так, чтобы разрешать входящие соединения только из диапазонов IP CloudFlares, а затем настройте его так, чтобы только ваш диапазон IP / IP мог подключаться к порту 21 (SSH)»

Может ли кто-нибудь помочь мне с какой командой мне нужно запустить для Ubuntu, чтобы получить этот эффект?

- | ОБНОВЛЕНИЕ 7 февраля 2017 г. | - Это остается дополнительным параметром настройки, так как вы можете легко заблокировать себя на своем сервере, если все будет сделано неправильно. При этом, если вам удобно, не стесняйтесь заблокировать источник, чтобы принимать IP-адреса Cloudflare только на порт 80 и порт 443. Просто убедитесь, что вы случайно не заблокировали SSH.

- | СТАРЫЙ КОММЕНТАРИЙ с 2013 года | - Мы АКТИВНО не одобряем такой вариант настройки для любого клиента, который не пользуется услугами бизнес-уровня (по крайней мере). Только наши планы корпоративного и корпоративного уровней включают расширенную защиту от DDoS-атак. Планы бесплатного и профессионального уровня включают базовую защиту от DDoS-атак, что означает, что если атака негативно повлияет на других клиентов CloudFlare, нам нужно будет перенаправить этот сайт с CloudFlare - а затем, если вы разрешаете трафик только с IP-адресов CloudFlare, вы будете блокировать все законный трафик на ваш сайт.

p.s. Я работаю в CloudFlare.

iptables --append INPUT --source 192.0.2.1 --protocol tcp --destination-port 22 --jump ACCEPT
iptables --append INPUT --source 203.0.113.0/24 --jump ACCEPT
iptables --policy INPUT DROP

192.0.2.1 - это ваш IP-адрес для доступа по SSH. 203.0.113.0/24 - это диапазон IP-адресов CloudFlare (если их несколько, вам, вероятно, придется добавить несколько правил).

Может ты сможешь использовать --in-interface чтобы дополнительно указать, какое правило чему соответствует.

Имейте в виду, что это очень простой пример, цель которого - указать вам в общем направлении. Проконсультируйтесь man iptables для большего. Кроме того, остерегайтесь блокировать себя.

В Дополнении к ответу Гнарфоза это список диапазонов IP-адресов, используемых cloudflare: https://www.cloudflare.com/ips