@Marek607Iptables i zezwolenie dla ruchu wyłącznie poprzez cloudflare
Iptables i zezwolenie dla ruchu wyłącznie poprzez cloudflare
28.12.2013 21:57
[img=cloudflare_logo-256x256] Cloudflare jest firmą dostarczającą usługi DNS i CDN. Usługi tej firmy często są używane jako ochrona DDOS ponieważ "ukrywają" adres IP serwera na którym znajduje się witryna.
Dla osób które dodatkowo chcą filtrować ruch dołączam zestaw reguł. które umożliwiają połączenie do portu 80/443 wyłącznie dla IP należących do cloudflare oraz ip lokalnego.
Jeżeli mamy połączenie po http:
iptables -A INPUT -s 204.93.240.0/24 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 204.93.177.0/24 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 199.27.128.0/21 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 173.245.48.0/20 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 103.22.200.0/22 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 141.101.64.0/18 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 108.162.192.0/18 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 190.93.240.0/20 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 188.114.96.0/20 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 197.234.240.0/22 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 198.41.128.0/17 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 162.158.0.0/15 -p tcp --dport http -j ACCEPT iptables -A INPUT -s 127.0.0.1 -p tcp --dport http -j ACCEPT
W przypadku polaczenia szyfrowanego (https)
iptables -A INPUT -s 204.93.240.0/24 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 204.93.177.0/24 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 199.27.128.0/21 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 173.245.48.0/20 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 103.22.200.0/22 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 141.101.64.0/18 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 108.162.192.0/18 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 190.93.240.0/20 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 188.114.96.0/20 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 197.234.240.0/22 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 198.41.128.0/17 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 162.158.0.0/15 -p tcp --dport https -j ACCEPT iptables -A INPUT -s 127.0.0.1 -p tcp --dport https -j ACCEPT
Na koniec pozostaje nam zablokowanie pozostałego ruchu:
iptables -A INPUT -p tcp --dport http -j DROP iptables -A INPUT -p tcp --dport https -j DROP
Warto co jakiś czas sprawdzać adresacje cloudflare dostępną pod adresem: https://www.cloudflare.com/ips.html