web-dev-qa-db-ja.com

cloudflare以外からのすべてのリクエストを拒否するにはどうすればよいですか?

最近、複数のプロキシIPからサービス拒否攻撃を受けたので、これを防ぐためにcloudflareをインストールしました。次に、サーバーのIPアドレスに直接接続してホストヘッダーを偽造することで、それらがcloudflareをバイパスしていることに気付き始めました。

Cloudflareが使用する18個のIPアドレスからのものではない接続で403を返す最もパフォーマンスの高い方法は何ですか?
私はすべてを明示的にdenyingしようとしましたが、明示的にallowing cloudflare ipsを実行しましたが、CF-Connecting-IPはip allowテストを設定します。

Nginx 1.6.0を使用しています。

nginxcloudflare
4
phillips1012

最もパフォーマンスの高い方法は、サーバーの前にあるハードウェアファイアウォールです。または、攻撃を軽減するための支援をデータセンター/アップストリームプロバイダーに依頼します。

ウェブサーバーやiptablesでブロックすることは役立つかもしれませんが、それでも帯域幅とシステムリソースを使用しているため、DoS攻撃は依然として可能です。必要なのは、トラフィックを可能な限り上流でブロックすることです。これにより、トラフィックがサーバーに到達することはなく、リンクが他の地域にフラッディングすることもありません。ハードウェアファイアウォールは、Webサーバーよりもはるかに高速にトラフィックをフィルタリングでき、サーバーリソースを使用しません。直接接続する必要がある場合に備えて、クラウドフレアやオフィスなどのサーバーからのトラフィックを許可する必要があります。

サーバーのIPを変更することも役立つ可能性があります。cloudflareだけが新しいIPを知る必要があり、それをパブリックDNSレコードに公開しないでください。

3
Grant

私が思いついた唯一のソリューションは、nginxだけで実行でき、nginxバージョン1.9.7以降が必要です。

ngx_http_geo_module を使用して、cloudflare IPでないIPの403応答を識別して返すことができます。

このgeoブロックを使用します。

geo $realip_remote_addr $cloudflare_ip {
    default          0;
    103.21.244.0/22  1;
    103.22.200.0/22  1;
    103.31.4.0/22    1;
    104.16.0.0/12    1;
    108.162.192.0/18 1;
    131.0.72.0/22    1;
    141.101.64.0/18  1;
    162.158.0.0/15   1;
    172.64.0.0/13    1;
    173.245.48.0/20  1;
    188.114.96.0/20  1;
    190.93.240.0/20  1;
    197.234.240.0/22 1;
    198.41.128.0/17  1;
    199.27.128.0/21  1;
    2400:cb00::/32   1;
    2405:8100::/32   1;
    2405:b500::/32   1;
    2606:4700::/32   1;
    2803:f800::/32   1;
    2c0f:f248::/32   1;
    2a06:98c0::/29   1;
}

これをサーバーブロックに追加できます。

if ($cloudflare_ip != 1) {
    return 403;
}

これは、$cloudflare_ipから発信されていない接続については403を返します。

これは、$realip_remote_addrを使用するときに元のクライアントアドレスを保持するgeoブロックでreal_ip_header CF-Connecting-IPを使用しているため機能します。

2
jhilliar

ここで説明するように、CloudflareからのIPアドレスのみを許可できます。

https://erichelgeson.github.io/blog/2014/01/18/whitelisting-cloudflare-in-nginx/

# https://www.cloudflare.com/ips
# IPv4
allow 103.21.244.0/22;
allow 103.22.200.0/22;
allow 103.31.4.0/22;
allow 104.16.0.0/12;
allow 108.162.192.0/18;
allow 131.0.72.0/22;
allow 141.101.64.0/18;
allow 162.158.0.0/15;
allow 172.64.0.0/13;
allow 173.245.48.0/20;
allow 188.114.96.0/20;
allow 190.93.240.0/20;
allow 197.234.240.0/22;
allow 198.41.128.0/17;

# IPv6
allow 2400:cb00::/32;
allow 2405:b500::/32;
allow 2606:4700::/32;
allow 2803:f800::/32;
allow 2c0f:f248::/32;
allow 2a06:98c0::/29;

deny all; # deny all remaining ips

CloudflareのIPアドレス範囲が変更される可能性があるため、この構成を時々更新する必要があることに注意してください。この構成を自動生成するには、 this script を使用できます

1
user6327