Cum să protejăm originea cu Cloudflare Argo Tunel?

Nu lăsați pe cineva să ocolească protecția Cloudflare și să-și folosească în mod greșit serverul de origine!


Cloudflare este una dintre cele mai populare platforme CDN și de securitate, alimentând milioane de site-uri de la mici la întreprinderi. Când implementați Cloudflare pentru site-ul dvs. web, tot traficul este securizat și accelerat. Dar acest lucru este valabil atunci când este accesat un site folosind un nume de domeniu. Ce zici dacă cineva află IP-ul serverului propriu (Origin) și îl folosește greșit?

Găsirea IP-ului serverului pentru site-ul din spatele Cloudflare nu durează prea mult. Puteți afla cum, așa cum este explicat aici și aici. Vedeți, doar implementarea CDN și WAF bazată pe Cloud nu este suficientă. De asemenea, ar trebui să luați în considerare protejarea originii.

Deci, care este soluția?

Tunelul Argo – o soluție inteligentă de la Cloudflare pentru a proteja serverul de origine împotriva atacurilor directe.

Este un demon pe care trebuie să îl instalați pe serverul dvs. care creează un tunel criptat între server la rețeaua Cloudflare. Există o configurație zero complicată a tabelului ACL / IP.

Vestea bună este că nu trebuie să fiți în conformitate cu PRO sau un plan superior. Puteți începe, chiar dacă sunteți în conformitate cu planul GRATUIT. Tot ce plătiți este pentru abonamentul Argo, care pornește de la 5 USD pe lună.

Să începem cu instalarea și configurarea.

Instalarea demonului Cloudflare

  • Conectați-vă la serverul de origine cu privilegiul root sau sudo
  • Descărcați cel mai recent pachet stabil. Sunt pe Ubuntu deci, fișier .deb pentru alte sisteme de operare, verificați pagina de descărcare oficială.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Instalați pachetul descărcat

dpkg -i cloudflared-stable-linux-amd64.deb

  • Verificăm versiunea pentru a ne asigura că a fost instalată

[Email protected]: ~ # cloudflared –versiune
versiunea cloudflared 2020.2.0 (construită 2020-02-07-1653 UTC)
[Email protected]: ~ #

Grozav!

Autentificați Daemon

Următorul ar fi autentificarea la Cloudflare folosind demonul. Executați comanda de mai jos

conectare la tunel cu imagini cloud

  • Acesta vă va solicita adresa URL pe care o puteți utiliza pentru a vă autentifica la Cloudflare și a autoriza site-ul.

[Email protected]: ~ # conectare la tunel cu imagini cloud
Vă rugăm să deschideți următoarea adresă URL și să vă conectați cu contul dvs. Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Lăsați cloudflared care rulează pentru a descărca automat certificatul.
INFO [0030] În așteptare pentru conectare…
INFO [0060] În așteptare pentru conectare…
INFO [0090] În așteptare pentru conectare…
INFO [0120] În așteptare pentru conectare…
V-ați autentificat cu succes.
Dacă doriți să copiați datele de acreditare pe un server, acestea au fost salvate în:
/root/.cloudflared/cert.pem
[Email protected]: ~ #

  • Odată autorizat, ar trebui să vezi așa ceva.

Pornirea tunelului

Să începem tunelul de mai jos.

cloudflared tunnel –hostname [HOSTNAME] http: // localhost: 80

Ex:

[Email protected]: ~ # cloudflared tunnel –hostname tunnel.geekflare.com http://0.0.0.0:80
AVERTIZARE [0000] Nu se poate determina calea de configurare implicită. Niciun fișier [config.yml config.yaml] din [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
INFO [0000] Versiunea 2020.2.0
INFO [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Semnalizează hostname = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] cloudflared nu se va actualiza automat atunci când este rulat de pe shell. Pentru a activa actualizările automate, executați cloudflared ca serviciu: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Pornirea serverului metric addr ="127.0.0.1:35597"
INFO [0000] Solicitări de tunuri de rezolvare la http://0.0.0.0:80
INFO [0000] Conectat la LAX connectionID = 0
INFO [0001] ID-uri tunel ale fiecărei conexiuni HA: hartă [0: xxx] conexiuneID = 0
INFO [0001] Rastul care se propagă, poate dura până la 1 minut pentru ca noua dvs. rută să devină conexiune funcțională ID = 0
INFO [0003] Conectat la LAX

Felicitări! originea este blocată acum. Încercați să accesați site-ul dvs. web folosind IP-ul de origine și ar trebui să vedeți mesajul „conexiunea refuzată”.

Pornirea tunelului Argo la Boot

Să ne asigurăm că Argo Tunnel este pornit atunci când serverul repornește. Executați comanda de mai jos pe server.

instalarea serviciului cloudflared

Concluzie

Cloudflare Argo Tunnel arată promițător. Doar în aproximativ 30 de minute, puteți proteja serverul de origine.

ETICHETE:

  • Cloudflare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map