Как грамотно скрыть сервер за Cloudflare?
Отличный пост попался на эту тему от c0d3x с xss (/threads/122607/post-863457)
Запретить доступ к серверу и всем его портам полностью, кроме подсетей CloudFlare - https://www.cloudflare.com/ips/ и своего IP или подсети, с которой администрируешь сервер. Если уже попал в базы сканеров интернета (Censys, Fofa и т.д.), то после проведения вышеупомянутых действий IP твоего сервера исчезнет из выдачи через 3-7 суток. Но лучше всё-таки поменять IP. Помимо этого, можно отдавать 444 или 403 тем, кто подключается к HTTP/HTTPS с хидером host, отличным от твоего.
Что касается краулеров и ботов, здесь всё зависит от того, от каких именно защищаться. Во-первых, нужно блокировать тех, кто использует дефолтные юзер-агенты типа Go-http-client, libcurl, python и так далее. Сделать это можно через правила WAF в самом CloudFlare. Во-вторых, нужно использовать Super BotFight Mode и детектировать JS. В-третьих, включить в настройках JS-челлендж для тех стран, из которых к тебе идёт больше всего нежелательного трафика, например Индия, Бразилия, Китай и так далее. WAF в самом CloudFlare неплохо справляется (Cloudflare OWASP Core Ruleset + Cloudflare Managed Ruleset), можно дополнительно настроить уровень паранойи. Настраивается это всё в Security > WAF > Managed rules. Ну, для особо тревожных можно и на бэкенд настроить WAF, например, тот же ModSecurity, который является опенсорсным и регулярно обновляется.
https://t.me/TorZireael1
Отличный пост попался на эту тему от c0d3x с xss (/threads/122607/post-863457)
Запретить доступ к серверу и всем его портам полностью, кроме подсетей CloudFlare - https://www.cloudflare.com/ips/ и своего IP или подсети, с которой администрируешь сервер. Если уже попал в базы сканеров интернета (Censys, Fofa и т.д.), то после проведения вышеупомянутых действий IP твоего сервера исчезнет из выдачи через 3-7 суток. Но лучше всё-таки поменять IP. Помимо этого, можно отдавать 444 или 403 тем, кто подключается к HTTP/HTTPS с хидером host, отличным от твоего.
Что касается краулеров и ботов, здесь всё зависит от того, от каких именно защищаться. Во-первых, нужно блокировать тех, кто использует дефолтные юзер-агенты типа Go-http-client, libcurl, python и так далее. Сделать это можно через правила WAF в самом CloudFlare. Во-вторых, нужно использовать Super BotFight Mode и детектировать JS. В-третьих, включить в настройках JS-челлендж для тех стран, из которых к тебе идёт больше всего нежелательного трафика, например Индия, Бразилия, Китай и так далее. WAF в самом CloudFlare неплохо справляется (Cloudflare OWASP Core Ruleset + Cloudflare Managed Ruleset), можно дополнительно настроить уровень паранойи. Настраивается это всё в Security > WAF > Managed rules. Ну, для особо тревожных можно и на бэкенд настроить WAF, например, тот же ModSecurity, который является опенсорсным и регулярно обновляется.
https://t.me/TorZireael1