Laat iemand de Cloudflare-beveiliging niet omzeilen en uw oorspronkelijke server niet misbruiken!
Cloudflare is een van de populaire CDN- en beveiligingsplatforms, die miljoenen sites van klein tot groot bedrijf van stroom voorziet. Wanneer u Cloudflare voor uw website implementeert, wordt al het verkeer beveiligd en versneld. Maar dit is waar wanneer een site wordt geopend met een domeinnaam. Hoe zit het als iemand de werkelijke server-IP (oorsprong) ontdekt en deze misbruikt?
Het vinden van server-IP voor de site achter Cloudflare kost niet veel. U kunt ontdekken hoe, zoals hier en hier uitgelegd. Zie je, het implementeren van CDN en Cloud-based WAF is niet genoeg. Overweeg ook om de oorsprong te beschermen.
Dus, wat is de oplossing?
Argo Tunnel – een slimme oplossing van Cloudflare om de oorspronkelijke server te beschermen tegen directe aanvallen.
Het is een daemon die u op uw server moet installeren en die een gecodeerde tunnel tussen de server en het Cloudflare-netwerk creëert. Er is geen ingewikkelde ACL / IP-tabelconfiguratie.
Het goede nieuws is dat je niet onder een PRO of hoger plan hoeft te zitten. U kunt het starten, zelfs als u onder het GRATIS plan zit. Het enige dat u betaalt, is voor een Argo-abonnement, dat begint vanaf $ 5 per maand.
Laten we beginnen met installatie en configuratie.
Contents
Cloudflare-daemon installeren
- Log in op de oorspronkelijke server met root- of sudo-privileges
- Download het nieuwste stabiele pakket. Ik gebruik Ubuntu, dus .deb-bestand voor ander besturingssysteem, bekijk de officiële downloadpagina.
wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb
- Installeer het gedownloade pakket
dpkg -i cloudflared-stable-linux-amd64.deb
- Laten we de versie verifiëren om er zeker van te zijn dat deze is geïnstalleerd
[email beveiligd]: ~ # cloudflared –versie
cloudflared versie 2020.2.0 (gebouwd 2020-02-07-1653 UTC)
[email beveiligd]: ~ #
Super goed!
Verifieer Daemon
De volgende zou zijn om te verifiëren bij Cloudflare met behulp van de daemon. Voer de onderstaande opdracht uit
cloudflared tunnel login
- Het zal u de URL vragen die u kunt gebruiken om in te loggen bij Cloudflare en de site te autoriseren.
[email beveiligd]: ~ # cloudflared tunnel login
Open de volgende URL en log in met uw Cloudflare-account:
https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B
Laat cloudflared actief om het certificaat automatisch te downloaden.
INFO [0030] Wachten op inloggen…
INFO [0060] Wachten op inloggen…
INFO [0090] Wachten op inloggen…
INFO [0120] Wachten op inloggen…
Je bent succesvol ingelogd.
Als u uw inloggegevens naar een server wilt kopiëren, zijn ze opgeslagen op:
/root/.cloudflared/cert.pem
[email beveiligd]: ~ #
- Eenmaal geautoriseerd, zou je zoiets moeten zien.
De tunnel starten
Laten we beginnen met de onderstaande tunneling.
cloudflared tunnel –hostnaam [HOSTNAME] http: // localhost: 80
Ex:
[email beveiligd]: ~ # cloudflared tunnel –hostnaam tunnel.geekflare.com http://0.0.0.0:80
WARN [0000] Kan het standaard configuratiepad niet bepalen. Geen bestand [config.yml config.yaml] in [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
INFO [0000] Versie 2020.2.0
INFO [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Markeert hostnaam = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] cloudflared wordt niet automatisch bijgewerkt wanneer het vanuit de shell wordt uitgevoerd. Voer cloudflared as a service uit om automatische updates in te schakelen: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Starten metrics-server addr ="127.0.0.1:35597"
INFO [0000] Proxytunnelaanvragen naar http://0.0.0.0:80
INFO [0000] Verbonden met LAX-verbinding ID = 0
INFO [0001] De tunnel-ID’s van elke HA-verbinding: map [0: xxx] connectionID = 0
INFO [0001] Route wordt doorgevoerd, het kan tot 1 minuut duren voordat uw nieuwe route functioneel wordt connectionID = 0
INFO [0003] Verbonden met LAX
Gefeliciteerd! oorsprong is nu vergrendeld. Probeer toegang te krijgen tot uw website met behulp van oorspronkelijke IP, en u zou het bericht “verbinding geweigerd” moeten zien.
Argo Tunnel starten bij opstarten
Laten we ervoor zorgen dat de Argo-tunnel wordt gestart wanneer de server opnieuw wordt opgestart. Voer de onderstaande opdracht uit op de server.
cloudflared service installeren
Conclusie
Cloudflare Argo Tunnel ziet er veelbelovend uit. In slechts 30 minuten kunt u de oorspronkelijke server beschermen.
TAGS:
Cloudflare
