Как защитить происхождение с помощью Cloudflare Argo Tunnel?

Не позволяйте кому-либо обходить защиту Cloudflare и не использовать ваш сервер происхождения!


Cloudflare – одна из популярных платформ CDN и безопасности, которая обслуживает миллионы сайтов от небольших до корпоративных. Когда вы используете Cloudflare для своего сайта, весь трафик защищается и ускоряется. Но это верно, когда сайт доступен с использованием доменного имени. Как насчет того, если кто-то узнает фактический IP-адрес сервера (Origin) и использует его неправильно??

Поиск IP-адреса сервера для Cloudflare не займет много времени. Вы можете узнать как, как объяснено здесь и здесь. Видите ли, просто внедрения CDN и облачного WAF недостаточно. Вы должны также рассмотреть вопрос о защите происхождения.

Итак, каково решение?

Арго Туннель – интеллектуальное решение Cloudflare для защиты исходного сервера от прямой атаки.

Это демон, который необходимо установить на вашем сервере, который создает зашифрованный туннель между сервером и сетью Cloudflare. Нулевая сложная конфигурация таблицы ACL / IP.

Хорошей новостью является то, что вам не нужно быть под PRO или более высоким планом. Вы можете начать, даже если вы находитесь под БЕСПЛАТНЫМ планом. Все, что вы платите, это за подписку Argo, которая начинается от 5 долларов в месяц..

Давайте начнем с установки и настройки.

Установка демона Cloudflare

  • Войдите на исходный сервер с привилегиями root или sudo
  • Загрузите последний стабильный пакет. Я на Ubuntu так, файл .deb для других ОС, проверьте официальная страница загрузки.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Установите скачанный пакет

dpkg -i cloudflared-stable-linux-amd64.deb

  • Давайте проверим версию, чтобы убедиться, что она установлена

[Электронная почта защищена]: ~ # cloudflared –version
облачная версия 2020.2.0 (построена 2020-02-07-1653 UTC)
[Электронная почта защищена]: ~ #

большой!

Аутентифицировать Демон

Далее будет проходить аутентификацию в Cloudflare с помощью демона. Запустите приведенную ниже команду

вход в облачный туннель

  • Он подскажет вам URL, который вы можете использовать для входа в Cloudflare и авторизации сайта.

[Электронная почта защищена]: ~ # вход в облачный туннель
Пожалуйста, откройте следующий URL и войдите в свою учетную запись Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Оставьте cloudflared запущенным для автоматической загрузки сертификата.
ИНФОРМАЦИЯ [0030] Ожидание входа…
ИНФОРМАЦИЯ [0060] Ожидание входа…
ИНФОРМАЦИЯ [0090] Ожидание входа…
ИНФОРМАЦИЯ [0120] Ожидание входа…
Вы успешно вошли в систему.
Если вы хотите скопировать свои учетные данные на сервер, они были сохранены в:
/root/.cloudflared/cert.pem
[Электронная почта защищена]: ~ #

  • После авторизации вы должны увидеть что-то вроде этого.

Начиная туннель

Давайте начнем туннелирование ниже.

туннель с облачным пламенем – имя_хоста [имя_хоста] http: // localhost: 80

Пример:

[Электронная почта защищена]: ~ # cloudflared tunnel – имя_хоста tunnel.geekflare.com http://0.0.0.0:80
WARN [0000] Невозможно определить путь конфигурации по умолчанию. Нет файла [config.yml config.yaml] в [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
ИНФОРМАЦИЯ [0000] Версия 2020.2.0
ИНФОРМАЦИЯ [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
ИНФОРМАЦИЯ [0000] Флаги имя хоста = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] cloudflared не будет автоматически обновляться при запуске из оболочки. Чтобы включить автообновления, запустите cloudflared как сервис: https://developers.cloudflare.com/argo-tunnel/reference/service/
ИНФОРМАЦИЯ [0000] Начальный сервер метрик addr ="127.0.0.1:35597"
ИНФОРМАЦИЯ [0000] Прокси-запросы туннеля на http://0.0.0.0:80
INFO [0000] Подключено к LAX connectionID = 0
ИНФОРМАЦИЯ [0001] Идентификаторы туннеля каждого соединения HA: map [0: xxx] ID соединения = 0
ИНФОРМАЦИЯ [0001] Маршрут распространяется, может потребоваться до 1 минуты, чтобы ваш новый маршрут стал функциональным connectionID = 0
ИНФОРМАЦИЯ [0003] Подключен к LAX

Поздравляем! происхождение заблокировано сейчас. Попробуйте получить доступ к своему веб-сайту с использованием исходного IP-адреса, и вы должны увидеть сообщение «Отказано в соединении».

Запуск Argo Tunnel при загрузке

Давайте обеспечим запуск туннеля Argo при перезагрузке сервера. Запустите приведенную ниже команду на сервере.

установка облачного сервиса

Вывод

Cloudflare Argo Tunnel выглядит многообещающе. Примерно через 30 минут вы можете защитить исходный сервер.

TAGS:

  • Cloudflare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map