Как да защитим произхода си с тунел Cloudflare Argo?

Не позволявайте на някой да заобиколи защитата от Cloudflare и злоупотребява с вашия сървър за произход!


Cloudflare е една от популярните CDN и платформа за сигурност, захранваща милиони сайтове от малки до предприятия. Когато внедрите Cloudflare за вашия уебсайт, целият трафик е обезопасен и ускорен. Но това е вярно, когато достъпът до сайт се използва с име на домейн. Какво ще кажете, ако някой открие действителния IP адрес на сървъра (Origin) и го използва неправилно?

Намирането на IP сървър за сайта зад Cloudflare не отнема много. Можете да разберете как, както е обяснено тук и тук. Виждате ли, само прилагането на CDN и WAF, базирани в облак, не е достатъчно. Трябва също да помислите за защита на произхода.

И така, какво е решението?

Тунел Арго – интелигентно решение на Cloudflare, за да защити първоначалния сървър от директна атака.

Това е демон, който трябва да инсталирате на вашия сървър, който създава криптиран тунел между сървъра към мрежата на Cloudflare. Има нулева сложна конфигурация на таблица ACL / IP.

Добрата новина е, че не е нужно да сте под PRO или по-висок план. Можете да започнете, дори да сте под БЕЗПЛАТНИЯ план. Всичко, което плащате, е за абонамент на Argo, който започва от $ 5 на месец.

Нека започнем с инсталирането и настройката.

Инсталиране на демон на Cloudflare

  • Влезте в първоначалния сървър с root или sudo привилегия
  • Изтеглете най-новия стабилен пакет. Аз съм на Ubuntu, така, .deb файл за друга ОС, вижте официална страница за изтегляне.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Инсталирайте изтегления пакет

dpkg -i cloudflared-stable-linux-amd64.deb

  • Нека проверим версията, за да се уверим, че е инсталирана

[Имейл защитен]: ~ # cloudflared –версия
версия облачна версия 2020.2.0 (построена 2020-02-07-1653 UTC)
[Имейл защитен]: ~ #

Страхотен!

Удостоверете Daemon

На следващо място ще бъде да се удостоверите с Cloudflare с помощта на демон. Изпълнете командата по-долу

влизане в облачен тунел

  • Той ще ви подскаже URL адреса, който можете да използвате, за да влезете в Cloudflare и да упълномощите сайта.

[Имейл защитен]: ~ # влизане в облачен тунел
Моля, отворете следния URL адрес и влезте с вашия акаунт в Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Оставете да работи облачно, за да изтеглите автоматично сертификата.
ИНФО [0030] Изчакване за влизане…
ИНФО [0060] Изчакване за влизане…
ИНФО [0090] Изчакване за вход…
ИНФО [0120] Изчакване за влизане…
Успешно сте влезли в системата.
Ако искате да копирате вашите идентификационни данни на сървър, те са запазени на:
/root/.cloudflared/cert.pem
[Имейл защитен]: ~ #

  • След като бъдете упълномощен, трябва да видите нещо подобно.

Стартиране на тунела

Нека започнем тунелирането по-долу.

облачен тунел – име на име [HOSTNAME] http: // localhost: 80

Ex:

[Имейл защитен]: ~ # тунел с облак – име на тунел.geekflare.com http://0.0.0.0:80
ПРЕДУПРЕЖДЕНИЕ [0000] Не може да се определи път по конфигурация по подразбиране. Няма файл [config.yml config.yaml] в [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
ИНФОРМАЦИЯ Версия 2020.2.0
ИНФОРМАЦИЯ [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Флагове име на хоста = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO Облачно облачно няма да се актуализира автоматично при стартиране от черупката. За да активирате автоматичните актуализации, стартирайте облачно като услуга: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Стартиране на метричен сървър addr ="127.0.0.1:35597"
ИНФО [0000] Проксиране на заявки за тунел до http://0.0.0.0:80
INFO [0000] Свързана с LAX връзкаID = 0
ИНФОРМАЦИЯ [0001] ID на тунела на всяка HA връзка: карта [0: xxx] връзкаID = 0
ИНФОРМАЦИЯ [0001] Разпространяването на маршрута може да отнеме до 1 минута, докато новият ви маршрут стане функционална връзкаID = 0
INFO [0003] Свързан с LAX

Честито! произходът е заключен сега. Опитайте да получите достъп до уебсайта си с помощта на първоначалния IP и трябва да видите съобщението „отказана връзка“.

Започване на тунел Argo при Boot

Нека се уверим, че тунелът Argo е стартиран, когато сървърът се рестартира. Изпълнете командата по-долу на сървъра.

инсталира се облачна услуга

заключение

Тунелът на Cloudflare Argo изглежда обещаващ. Само за около 30 минути можете да защитите първоначалния сървър.

ЕТИКЕТИ:

  • Cloudflare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map