Kaip apsaugoti kilmę naudojant „Cloudflare Argo“ tunelį?

Neleiskite kam nors apeiti „Cloudflare“ apsaugos ir piktnaudžiauti jūsų kilmės serveriu!


„Cloudflare“ yra viena iš populiarių CDN ir saugos platformų, naudojančių milijonus svetainių nuo mažų iki verslo. Kai savo svetainėje įdiegsite „Cloudflare“, visas srautas bus apsaugotas ir pagreitintas. Bet tai tiesa, kai į svetainę patenkama naudojant domeno vardą. O kaip būtų, jei kas nors sužinotų tikrąjį serverio IP (kilmę) ir tuo netinkamai naudojasi?

Vietos, esančios už „Cloudflare“, serverio IP paieška nereikalauja daug laiko. Galite sužinoti, kaip paaiškinta čia ir čia. Matote, neužtenka vien įdiegti CDN ir „Cloud“ pagrįstą WAF. Taip pat turėtumėte apsvarstyti galimybę apsaugoti kilmę.

Taigi, koks sprendimas?

Argo tunelis – intelektualus „Cloudflare“ sprendimas, skirtas apsaugoti kilmės serverį nuo tiesioginės atakos.

Tai demonas, kurį turite įdiegti savo serveryje, kuris sukuria užšifruotą tunelį tarp serverio ir „Cloudflare“ tinklo. Nėra nulio sudėtingos ACL / IP lentelės konfigūracijos.

Geros naujienos yra tai, kad jums nereikia būti pagal PRO ar aukštesnio lygio planą. Tai galite pradėti, net jei esate pagal NEMOKAMĄ planą. Jūs mokate tik už „Argo“ prenumeratą, kuri prasideda nuo 5 USD per mėnesį.

Pradėkime nuo diegimo ir sąrankos.

„Cloudflare“ demono diegimas

  • Prisijunkite prie kilmės serverio su „root“ ar „sudo“ privilegija
  • Atsisiųskite naujausią stabilų paketą. Aš esu Ubuntu, taigi .deb failą, skirtą kitoms OS, patikrinkite oficialus atsisiuntimo puslapis.

programėlė https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Įdiekite atsisiųstą paketą

dpkg -i cloudflared-stabil-linux-amd64.deb

  • Patikrinkime versiją, kad įsitikintume, ar ji įdiegta

[apsaugotas el. paštu]: ~ # Debesuota – versija
„Debesuota“ versija 2020.2.0 (sukurta 2020-02-07-1653 UTC)
[apsaugotas el. paštu]: ~ #

Puiku!

Autentifikuokite demoną

Kitas būdas būtų autentifikuoti „Cloudflare“ naudojant demoną. Vykdykite žemiau pateiktą komandą

prisijungimo prie debesies tunelio prisijungimas

  • Jis paprašys URL, kurį galite naudoti prisijungdami prie „Cloudflare“ ir įgalindami svetainę.

[apsaugotas el. paštu]: ~ # prisijungimas prie debesies tunelio
Atidarykite šį URL ir prisijunkite naudodami „Cloudflare“ paskyrą:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Jei norite automatiškai atsisiųsti sertifikatą, palikite užtemdytą debesį.
INFO [0030] Laukiama prisijungimo…
INFO [0060] Laukiama prisijungimo…
INFO [0090] Laukiama prisijungimo…
INFO [0120] Laukiama prisijungimo…
Jūs sėkmingai prisijungėte.
Jei norite nukopijuoti savo kredencialus į serverį, jie buvo išsaugoti:
/root/.cloudflared/cert.pem
[apsaugotas el. paštu]: ~ #

  • Gavę leidimą turėtumėte pamatyti kažką panašaus.

Pradėjus tunelį

Pradėkime tunelį žemiau.

„cloudflared tunnel“ – hostname [HOSTNAME] http: // localhost: 80

Pvz .:

[apsaugotas el. paštu]: ~ # debesų uždengtas tunelis – pagrindinis vardas tunnel.geekflare.com http://0.0.0.0:80
ĮSPĖJIMAS [0000] Neįmanoma nustatyti numatytojo konfigūracijos kelio. Nėra failo [config.yml config.yaml] aplanke [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
INFO [0000] 2020.2.0 versija
INFO [0000] GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Žymės pagrindinio kompiuterio vardas = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] užtemdytas debesis nebus automatiškai atnaujinamas, kai vykdomas iš apvalkalo. Norėdami įgalinti automatinius atnaujinimus, paleiskite „cloudflared“ kaip paslaugą: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Pradėti metrikos serverį addr ="127.0.0.1:35597"
INFO [0000] Tunelio užklausų tarpinis įterpimas į http://0.0.0.0:80
INFO [0000] Prijungtas prie LAX jungtiesID = 0
INFO [0001] Kiekvieno HA ryšio tunelio ID: žemėlapis [0: xxx] jungtisID = 0
INFO [0001] Maršruto platinimas gali užtrukti iki 1 minutės, kol jūsų naujas maršrutas taps funkciniu junginiuID = 0
INFO [0003] Prijungta prie LAX

Sveikiname! kilmė dabar užblokuota. Pabandykite pasiekti savo svetainę naudodamiesi kilmės IP, ir turėtumėte pamatyti pranešimą „Ryšys atmestas“.

Startas Argo tunelyje prie Boot

Įsitikinkime, kad „Argo“ tunelis yra paleistas, kai serveris paleidžiamas iš naujo. Vykdykite žemiau esančią komandą serveryje.

„debesies“ paslaugos įdiegimas

Išvada

„Cloudflare Argo“ tunelis atrodo daug žadantis. Vos per 30 minučių galite apsaugoti kilmės serverį.

ŽENKLAI:

  • Debesuota

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map