Акция!  Домен 34 грн, домен 55 грн, домен  - 200 грн домен  - 65 грн, домен  - 99 грн, домен  - 56 грн!, домен  - 425 грн!
Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • RUB
  • USD
  • EUR
  • UAH
Чат техподдержки
Вы являетесь клиентом?
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Пожелания и предложения. Улучшить совместимость Nginx с Cloudflare на хостинге

Форумы Пожелания и предложения Улучшить совместимость Nginx с Cloudflare на хостинге
krutygolov
3 месяца
хостинг: есть
домен: есть
Улучшить совместимость Nginx с Cloudflare на хостинге
Добрый день!

При переносе домена на DNS сервера Cloudflare выводится стандартная ошибка "Домен ХХХ обслуживается не на наших NS серверах...". Можно было бы проверять, если домен находится на DNS серверах Cloudflare, то не выводить данное сообщение.

А теперь самое главное. Пожалуйста, настройте Nginx на работу с Cloudflare, чтобы в логах отображались реальные IP клиентов, а не проксируемые сервера.

Для этого нужен модуль - Module ngx_http_realip_module
и следующая настройка Nginx:

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2c0f:f248::/32;
set_real_ip_from 2a06:98c0::/29;

# use any of the following two
real_ip_header CF-Connecting-IP;
#real_ip_header X-Forwarded-For;


Информация взята с сайта https://support.cloudflare.com/hc/en-us/articles/200170706-How-do-I-restore-original-visitor-IP-with-Nginx-.

Буду очень благодарен за подобное нововведение. Многие клиенты Вашего хостинга используют Cloudflare.
Илья
3 месяца
хостинг: есть
домен: есть
Да, задача по set_real_ip есть, скоро сделаем. Хотя тут стоит заметить, что фильтрация DDOS в CloudFlare не ахти и фильтровать атаку на сайт мы не сможем, так как запросы идут через их прокси, который во многих случаях пропускает тупо все.

Ошибку "Домен ХХХ обслуживается не на наших NS серверах" поправим.
Илья
3 месяца
хостинг: есть
домен: есть
При переносе домена на DNS сервера Cloudflare выводится стандартная ошибка "Домен ХХХ обслуживается не на наших NS серверах...". Можно было бы проверять, если домен находится на DNS серверах Cloudflare, то не выводить данное сообщение. © krutygolov

Мы рекомендуем использовать наши DNS для того, что б можно было фильтровать DDOS атаки, в том числе, которые приходят через CloudFlare. Убрав домен с наших NS вы автоматически блокируете возможность домен направить на балансировщик, который будет балансировку делать на десяток серверов. Поэтому CloudFlare хорош, пока не прилетит DDOS.
krutygolov
3 месяца
хостинг: есть
домен: есть
Спасибо за подробное разъяснение.

Перейти на CloudFlare соблазнили бесплатный CDN и та самая защита от DDOS. Но, практика показала, что реально защита не срабатывает и сайт часто ложиться. А заблокировать IP адреса аттакующих не получается, потому что они проксируются. Также CloudFlare помогает скрыть реальный IP сервера, что в теории должно обезопасить от прямых атак.

Поэтому, если весь мир пользуется CloudFlare, значит в нём что-то есть :-) Другое дело, нужен ли он если сайт рассчитан только на Украину?
priler96
1 месяц
хостинг: есть
домен: нет
ТС отбитый или как?
Админ хостинга сегодня включил это дебильное предложение, и теперь ограничения работают через проброс.
А значит все кто по совету CloudFlare нормально включил ограничения для iptables проксирующих серверов CloudFlare теперь обязаны их убрать, так как все юзеры теперь ловят 403 Forbidden.

CloudFlare реально не защищает говорите?
Ну естественно, если Вы в этом вопросе не в зуб ногой.
Теперь из-за этого \"нововведения\" от CloudFlare кроме CDN нет вообще никакого толка, ибо любой Вася сможет указать запрос вида IP сервера + заголовок Host.

:facepalm
Вот зачем админы слушают таких юзверов?
eugen
1 месяц
хостинг: есть
домен: есть
1
ТС отбитый или как?
Админ хостинга сегодня включил это дебильное предложение, и теперь ограничения работают через проброс.
© priler96

На самом деле, внедрение такого функционала планировалось давно, т.к. это создает много неудобств. Сейчас определение IP за сервисами cloudflare и некоторыми другими проходит тестирование и работает еще не во всех ситуациях.

А значит все кто по совету CloudFlare нормально включил ограничения для iptables проксирующих серверов CloudFlare теперь обязаны их убрать, так как все юзеры теперь ловят 403 Forbidden. © priler96

Приносим извинения, наш фейл. Мы перепроверили все сайты, которых ходят к нам через cloudflare, чтобы убедиться, что это изменение не повлияет на их работу.

ибо любой Вася сможет указать запрос вида IP сервера + заголовок Host. © priler96

Принцип защиты cloudflare состоит в том, что атакующий не знает IP адрес вашего web сервера. Если знает, то ситуация \"указать запрос вида IP сервера + заголовок Host\" - это самое безобидное, что может произойти. Существует масса других возможностей атаковать такой сервер, даже если на http запросы он будет отвечать 403.
priler96
1 месяц
хостинг: есть
домен: нет
На самом деле, внедрение такого функционала планировалось давно, т.к. это создает много неудобств. Сейчас определение IP за сервисами cloudflare и некоторыми другими проходит тестирование и работает еще не во всех ситуациях. © eugen

Плохо то что вы внедрили этот функционал принудительно, и не даете возможность отключать его на отдельных аккаунтах.
Cloudflare итак шлёт настоящий IP адрес человек в соответствующих заголовках запроса, то есть на работу сайтов это никак не влияет.
То есть данное нововведение сделано тупо для того чтобы вебмастера видели в логах сервера настоящие IP адреса, зачемпочему непонятно.

Приносим извинения, наш фейл. Мы перепроверили все сайты, которых ходят к нам через cloudflare, чтобы убедиться, что это изменение не повлияет на их работу. © eugen

Фейл это совсем неподходящее слово.
Лично я покидаю Ваш хостинг которым пользуюсь уже больше 3х лет, так как перед о мной поставили выбор: либо плати больше и бери VPS, либо оставляй свой аккаунт без защиты.

Принцип защиты cloudflare состоит в том, что атакующий не знает IP адрес вашего web сервера. Если знает, то ситуация \\\\\\\"указать запрос вида IP сервера + заголовок Host\\\\\\\" - это самое безобидное, что может произойти. Существует масса других возможностей атаковать такой сервер, даже если на http запросы он будет отвечать 403. © eugen

Если знает IP это уже Ваша проблема, а в связке запросы уходят на мой вирт. хост, а значит в случае нагрузки Вы блокируете мой аккаунт на сутки.
Получается весёлая ситуация, даже очень.
А вообще есть невероятно большая разница между запросами заблокированными и запросами принятыми, это я к вопросу о хост + ip.
В плане нагрузки это разница в несколько тысяч раз.

p.s. А вообще вы жестко подставили всех пользователей CloudFlare.
В отличии от всяких Васянов типа топик стартера, я шарю как работает защита от них и у меня там бизнес аккаунт.
От которого теперь нет толка, потому что Вы решили что шарите.
eugen
1 месяц
хостинг: есть
домен: есть
1
То есть данное нововведение сделано тупо для того чтобы вебмастера видели в логах сервера настоящие IP адреса, зачемпочему непонятно. © priler96

Если вам это не нужно, это не значит, что не нужно никому.

так как перед о мной поставили выбор: либо плати больше и бери VPS, либо оставляй свой аккаунт без защиты © priler96

Мне кажется, вы сильно переоцениваете влияние этого изменения. Мы вас перед таким выбором не ставим. После этого изменения сайт не стал менее защищен. Более того, теперь станут доступны и другие способы аналитики и фильтрации запросов ботов, имея данные об IP адресе посетителя. Я в курсе, что эта информация была и раньше в заголовке и программисту не составит труда их использовать. Я имею в виду готовые решения, которые ожидают увидеть IP адрес в $_SERVER[\'REMOTE_ADDR\'], а не где-то еще.

Если знает IP это уже Ваша проблема, а в связке запросы уходят на мой вирт. хост, а значит в случае нагрузки Вы блокируете мой аккаунт на сутки.
Получается весёлая ситуация, даже очень.
А вообще есть невероятно большая разница между запросами заблокированными и запросами принятыми, это я к вопросу о хост + ip.
В плане нагрузки это разница в несколько тысяч раз.
© priler96

Безусловно, ответить 403 менее ресурсоемко. И все-таки, откуда атакующий узнает IP адрес сервера, куда слать запрос, чтобы обойти cloudflare и создать ту нагрузку, о которой вы беспокоитесь?
priler96
1 месяц
хостинг: есть
домен: нет
Если вам это не нужно, это не значит, что не нужно никому. © eugen

Не видел нигде предупреждений или опросов, тем более непонятно зачем всем пихать настолько сомнительное решение.

IP адрес в $_SERVER[\\\'REMOTE_ADDR\\\'] © eugen

Патч составить не трудно, чтобы адрес был в этой ячейке.
При подключении к CloudFlare человек должен это всё знать и сам делать.

откуда атакующий узнает IP адрес сервера © eugen

DNS history, не?
Начинающий злоумышленник без проблем вытащит айпи любого сайта, особенно расположенного на шаред хостинге.
Любой дурак знает о таких инструментах IP History - ViewDNS.info
Участвовать в общении на этом форуме могут только
зарегистрированные пользователи.

Если вы уже зарегистрированы Вам необходимо войти на форум.