Blog (12)
Komentarze (34)
Recenzje (0)
@Marek607Iptables i zezwolenie dla ruchu wyłącznie poprzez cloudflare

Iptables i zezwolenie dla ruchu wyłącznie poprzez cloudflare

28.12.2013 21:57

[img=cloudflare_logo-256x256] Cloudflare jest firmą dostarczającą usługi DNS i CDN. Usługi tej firmy często są używane jako ochrona DDOS ponieważ "ukrywają" adres IP serwera na którym znajduje się witryna.

Dla osób które dodatkowo chcą filtrować ruch dołączam zestaw reguł. które umożliwiają połączenie do portu 80/443 wyłącznie dla IP należących do cloudflare oraz ip lokalnego.

Jeżeli mamy połączenie po http:

iptables -A INPUT -s 204.93.240.0/24 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 204.93.177.0/24 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 199.27.128.0/21 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 173.245.48.0/20 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 103.22.200.0/22 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 141.101.64.0/18 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 108.162.192.0/18 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 190.93.240.0/20 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 188.114.96.0/20 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 197.234.240.0/22 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 198.41.128.0/17 -p tcp --dport http -j ACCEPT
  iptables -A INPUT -s 162.158.0.0/15 -p tcp --dport http -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -p tcp --dport http -j ACCEPT

W przypadku polaczenia szyfrowanego (https)

iptables -A INPUT -s 204.93.240.0/24 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 204.93.177.0/24 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 199.27.128.0/21 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 173.245.48.0/20 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 103.22.200.0/22 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 141.101.64.0/18 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 108.162.192.0/18 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 190.93.240.0/20 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 188.114.96.0/20 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 197.234.240.0/22 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 198.41.128.0/17 -p tcp --dport https -j ACCEPT
  iptables -A INPUT -s 162.158.0.0/15 -p tcp --dport https -j ACCEPT
 iptables -A INPUT -s 127.0.0.1 -p tcp --dport https -j ACCEPT

Na koniec pozostaje nam zablokowanie pozostałego ruchu:

iptables -A INPUT -p tcp --dport http -j DROP
  iptables -A INPUT -p tcp --dport https -j DROP

Warto co jakiś czas sprawdzać adresacje cloudflare dostępną pod adresem: https://www.cloudflare.com/ips.html

Wybrane dla Ciebie
Komentarze (0)