Ako chrániť pôvod pomocou oblačnosti Argo Tunnel?

Nedovoľte, aby niekto obchádzal ochranu pred cloudflare a zneužil svoj pôvodný server!


Cloudflare je jednou z populárnych platforiem CDN a zabezpečenia, ktorá napája milióny webových stránok od malých po podniky. Keď implementujete Cloudflare pre svoju webovú stránku, všetka prevádzka je zabezpečená a zrýchlená. Platí to však v prípade prístupu na web pomocou názvu domény. A čo keď niekto zistí skutočnú IP adresu servera (Origin) a zneužije ju?

Nájdenie adresy IP servera za serverom Cloudflare nezaberie veľa. Ako môžete zistiť, tu a tu. Vidíte, nestačí len implementácia CDN a cloudového WAF. Mali by ste tiež zvážiť ochranu pôvodu.

Aké je teda riešenie??

Tunel Argo – inteligentné riešenie od spoločnosti Cloudflare na ochranu pôvodného servera pred priamym útokom.

Je to démon, ktorý musíte nainštalovať na server a ktorý vytvára šifrovaný tunel medzi serverom a sieťou Cloudflare. Konfigurácia tabuľky ACL / IP je nulová.

Dobrou správou je, že nemusíte byť pod plánom PRO alebo vyšším. Môžete to začať, aj keď ste v rámci BEZPLATNÉHO plánu. Jediné, čo platíte, je predplatné Argo, ktoré začína od 5 dolárov mesačne.

Začnime s inštaláciou a nastavením.

Inštalácia démona Cloudflare

  • Prihláste sa na pôvodný server s oprávnením typu root alebo sudo
  • Stiahnite si najnovší stabilný balík. Som na Ubuntu, takže .deb súbor pre iné OS, pozrite sa na oficiálna stránka na stiahnutie.

wget https://bin.equinox.io/c/VdrWdbjqyF/cloudflared-stable-linux-amd64.deb

  • Nainštalujte stiahnutý balík

dpkg -i cloudflared-stabilný-linux-amd64.deb

  • Skontrolujte, či je nainštalovaná verzia

[Email protected]: ~ # cloudflared –verzia
cloudflared verzia 2020.2.0 (postavená 2020-02-07-1653 UTC)
[Email protected]: ~ #

skvelý!

Overenie totožnosti démona

Ďalej by bolo potrebné sa autentifikovať do Cloudflare pomocou démona. Spustite príkaz uvedený nižšie

prihlásenie do tunela s oblakmi

  • Zobrazí sa vám výzva na adresu URL, pomocou ktorej sa môžete prihlásiť do služby Cloudflare a autorizovať stránku.

[Email protected]: ~ # prihlásenie do cloudflared tunela
Otvorte nasledujúcu adresu URL a prihláste sa pomocou svojho účtu Cloudflare:

https://dash.cloudflare.com/argotunnel?callback=https%3A%2F%2Flogin.argotunnel.com%XXXXX-XXX-XXXXXX%3B

Ak chcete certifikát stiahnuť automaticky, nechajte cloudové spustenie.
INFO [0030] Čaká sa na prihlásenie…
INFO [Čaká sa na prihlásenie…
INFO Čaká sa na prihlásenie…
INFO Čaká sa na prihlásenie…
Úspešne ste sa prihlásili.
Ak chcete skopírovať svoje poverenia na server, boli uložené do:
/root/.cloudflared/cert.pem
[Email protected]: ~ #

  • Po autorizácii by ste mali niečo také vidieť.

Spustenie tunela

Začnime tunelovanie nižšie.

cloudflared tunnel –hostname [HOSTNAME] http: // localhost: 80

ex:

[Email protected]: ~ # cloudflared tunnel –hostname tunnel.geekflare.com http://0.0.0.0:80
WARN [0000] Nemožno určiť predvolenú konfiguračnú cestu. Žiadny súbor [config.yml config.yaml] v [~ / .cloudflared ~ / .cloudflare-warp ~ / cloudflare-warp / usr / local / etc / cloudflared / etc / cloudflared]
INFO [0000] Verzia 2020.2.0
INFO GOOS: linux, GOVersion: go1.12.7, GoArch: amd64
INFO [0000] Označuje názov hostiteľa = tunnel.geekflare.com proxy-dns-upstream ="https://1.1.1.1/dns-query, https://1.0.0.1/dns-query"
INFO [0000] cloudflared sa neaktualizuje automaticky pri spustení z shellu. Ak chcete povoliť automatické aktualizácie, spustite cloudflared ako službu: https://developers.cloudflare.com/argo-tunnel/reference/service/
INFO [0000] Počiatočný server metrík addr ="127.0.0.1:35597"
INFO Požiadavky na tunelov proxy na http://0.0.0.0:80
INFO [0000] Pripojené k LAX pripojeniuID = 0
INFO [0001] ID tunela každého spojenia HA: map [0: xxx] connectionID = 0
INFO [0001] Šírenie trasy môže trvať až 1 minútu, kým sa vaša nová trasa stane funkčným spojenímID = 0
INFO [0003] Pripojené k LAX

Blahoželáme! pôvod je teraz zablokovaný. Pokúste sa získať prístup na svoj web pomocou pôvodnej adresy IP a mala by sa zobraziť správa „odmietnuté pripojenie“.

Spustenie tunela Argo v Boot

Uistime sa, že sa tunel Argo spustí po reštarte servera. Spustite na serveri príkaz uvedený nižšie.

inštalácia služby cloudflared

záver

Tunel v oblakoch Argo vyzerá sľubne. Pôvodný server môžete chrániť približne za 30 minút.

Tagy:

  • CloudFlare

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map