C贸mo proteger un servidor web para que s贸lo acedan las IPs de Cloudflare

聽Ya hemos hablado de Cloudflare, el servicio web que sirve cono CDN, cahc茅, firewall y mucho m谩s. Tiene varios planes, gratis y de pago. Pero para la mayor铆a de las p谩ginas web el modo gratis es suficiente. Mientras se谩is conscientes de los l铆mites de subida que establece Cloudflare.

Hoy os vamos a ense帽ar “un truco” por el que vamos a limitar a nuestro servidor a que acepte s贸lo peticiones web que accedan de las IPs de Cloudflare. Esto aumentar谩 la seguridad en nuestra web, porque eliminar谩 cualquier petici贸n que no proceda de Cloudflare, y las que procedan de ah铆 vienen filtradas por sus sistemas de seguridad. Adem谩s, tambi茅n aprovechamos la cach茅 de Cloudflare lo que hace que el rendimiento de nuestra p谩gina y la experiencia de usuario mejore.

C贸mo hacerlo.

1.
Lo primero que debemos hacer es activar Cloudflare. Nos registramos en ese servicio, damos de alta nuestra web y nos dir谩 los DNS que tenemos que poner en nuestro dominio. Despu茅s tenemos que ir al proveedor de nuestro dominio y cambiar los DNS. Apunta todos los registros de DNS que tienes para copiarlos en Cloudflare.
Nota: si tienes el correo con tu proveedor, puede que tengas problemas al cambiar los DNS a otro proveedor. Consulta con ellos antes.
Seguramente tambi茅n se puede hacer todo esto sin cambiar los DNS a Cloudflare, pero explicamos la manera m谩s sencilla.

Una vez que hayas cambiado los DNS a Cloudflare ya podemos gestionar todo desde su panel. Tenemos que activar para nuestro dominio y para www.nuestrodominio el servicio de Cloudflare. Aseguraos que en el DNS tienen la nube en naranja, no en gris. Eso significa que pasa por sus sistemas.

2.
Ya tenemos el que cualquier persona de fuera que escriba nuestro dominio ir谩 por Cloudlfare. Ahora tenemos que asegurarnos que nuestro servidor no admita peticiones de ning煤n otra fuente.

2.1 Por IpTables.

Para eso nos vamos a nuestro servidor (suponemos que es dedicado o Cloud). Tenemos que activar en iptables el filtro para que s贸lo acepte las IPs de Cloudflare. Tenemos siempre un listado actualizado de las mismas aqu铆.
Cuidado: siempre que manejes un firewall corres riesgo. Aseg煤rate que pruebas todo antes de activarlo y que luego tienes una manera de retroceder.

Si queremos hacer esto directamente por iptables podemos hacerlo de esta manera que sugiere Cloudflare. 聽Sin embargo ya hemos dicho que es m谩s f谩cil realizar todas estas gestiones por programas como Firehol.

En Firehol abrimos el fichero firehol.conf y despu茅s de los primeros comentarios a帽adimos las ips de cloudflare as铆 (una por l铆nea). Los puntos suspensivos indican que est谩 el resto de ips:

cloudfl_ips=”103.21.244.0/22
103.22.200.0/22
…..

Despu茅s, en la interfaz que est茅 conectada al exterior ponemos:

server http accept src “$cloudfl_ips
server https accept src “$cloudfl_ips

Con esto graba el fichero y aseg煤rate de probar la configuraci贸n antes de reiniciar el servicio.

2.2 Por configuraci贸n del servidor web (Nginx en este caso).

Podemos restringir las ips de Cloudflare en el servidor web. Hoy lo mostraremos en Nginx.

Para ello creamos el fichero:聽etc/nginx/cloudflare-allow.conf 聽con un contenido como este:

# https://www.cloudflare.com/ips
# IPv4
allow 199.27.128.0/21;
allow 173.245.48.0/20;
allow 103.21.244.0/22;
allow 103.22.200.0/22;
allow 103.31.4.0/22;
allow 141.101.64.0/18;
allow 108.162.192.0/18;
allow 190.93.240.0/20;
allow 188.114.96.0/20;
allow 197.234.240.0/22;
allow 198.41.128.0/17;
allow 162.158.0.0/15;

# IPv6
allow 2400:cb00::/32;
allow 2606:4700::/32;
allow 2803:f800::/32;
allow 2405:b500::/32;
allow 2405:8100::/32;

Despu茅s, en la carpeta sites-available (o sites-enabled), editamos el fichero de configuraci贸n de tu dominio y en el apartado server ponemos:

include /etc/nginx/cloudflare-allow.conf;
  deny all;

Y reiniciamos nginx. Esto deber铆a restringir las ips a s贸lo las de Cloudflare y rechazar el resto.

Tambi茅n se puede hacer as铆.

1 comentario en 芦C贸mo proteger un servidor web para que s贸lo acedan las IPs de Cloudflare禄

Deja un comentario

Resumen de nuestra Pol铆tica de Privacidad

  • Responsable:聽SmythSys IT Consulting SLNE.
  • Finalidad:聽Gestionar y moderar los comentarios.
  • Legitimaci贸n:聽Necesitas dar tu consentimiento para publicar un comentario.
  • Destinatarios:聽Tus datos se alojan en los servidores de OVH.
  • Derechos:聽Tienes derecho a acceder, rectificar, limitar y suprimir los datos en la direcci贸n del responsable (en nuestra pol铆tica de privacidad).

Time limit is exhausted. Please reload CAPTCHA.