Hosting współdzielony OVH i CloudFlare

Niedawno miałem pierwszy kontakt z CloudFlare. Na swoim VPS mam postawione parę stron i w ramach eksperymentu dodałem do jednej z nich CF. W sumie - nie było konkretnych powodów, chciałem zobaczyć jak to działa. Wiedza przyda się za jakiś czas, przy większym projekcie.

W związku z tym mam dwie sprawy.

1. Czy macie jakieś porady/sugestie albo kwestie, na które warto zwrócić uwagę? Nie pytam jak to wdrożyć czy skonfigurować - bo to raczej ogarnąłem. Ale, jak to się mówi, diabeł tkwi w szczegółach - więc może ludziki bardziej doświadczone, które przez to przechodziły wiele razy, mogą coś zasugerować - że warto ustawić X, zobacz czy Y jest przestawione na jakąś wartość, a także czy masz odpaloną opcję Z.
2. W jednej z firm mam stronę na hostingu współdzielonym z OVH. Czy jest sens dawać CF w tym przypadku? Jedyne co mi przychodzi do głowy to ukrycie tego, że strona jest hostowana na OVH - ale czy cokolwiek innego to może dać?

1. jeśli banujesz po ip do przy podpięciu przez cf nie zobaczysz u siebie ip klienta tylko cf, trzeba tam opcje poprzestawiać
2. cf daje m.in antyddosa i dodaje cache assetów więc zmniejsza przesył danych z twojego serwera.

@ehhhhh: dzięki za odpowiedzi.

Co do pierwszego - tak, wiem, że domyślnie widzę IP CF a nie usera. Ale nie jest to wielki problem, żeby się dobić do oryginalnego IP:
https://stackoverflow.com/questions/14985518/cloudflare-and-logging-visitor-ip-addresses-via-in-php
https://support.cloudflare.com/hc/en-us/articles/200170786-Restoring-original-visitor-IPs
https://devanswers.co/get-real-client-ip-address-cloudflare-apache-php/

A w drugim zakresie - ogólnie to się zgadzam z tym, co napisałeś, ale zastanawiam się, czy ma to sens w przypadku posiadania strony, która jest typową wizytówką, ma kilkadziesiąt wejść dziennie i jest hostowana na serwerze współdzielonym na OVH. Nie mam tam limitów odnośnie transferu, prędkość OK, a samo OVH pewnie też jakieś zabezpieczenia posiada. Także - bardziej z ciekawości, pytam - czy w takim scenariuszu dawanie CF kryjącego hosting współdzielony ma sens?

cf dla takich wymagań jest darmowe więc lepiej miec niż nie mieć :) A poza tym dochodzi jeszcze że możesz zarządzać wszystkimi domenami z jednego miejsca.

Możesz dopiąć dodatkowe reguły cache (PageRules), wykluczyć jakieś endpointy
Jak leci jakiś atak, dobrym trybem jest Under Attack, gdzie pojawi się dodatkowa strona przed wejściem, sprawdzająca czy ruch nie pochodzi od botów.
j.w. zarządzasz rekordami z poziomu CF a nie z poziomu OVH (dla mnie to duży plus)
Możesz dzielić się kontem, jeśli jest to strona prywatna to spoko, ale jak firmowa i inni mają mieć dostęp w pracy/organizacji to jest możliwość udostępnienia konta/strony.
Statystyki ruchu
Jak masz podpięty ruch przez Cloudflare możesz na firewallu wykluczyć porty 80 i 443 tylko dla Cloudflare
Możesz wykorzystać CF jako MFA do logowania do niektórych aplikacji (https://developers.cloudflare.com/cloudflare-one/policies/access/mfa-requirements/)
i pewnie wiele innych ficzerów których nie mogę wymienić z pamięci :)

Co do ukrywania IP no to są toole do tego, które czytają sobie TCP handshake, np. to:
https://search.censys.io/

Dzięki @kbi64 za fajną odpowiedź :)
Chcę doprecyzować parę spraw:

dodatkowe reguły cache (PageRules), wykluczyć jakieś endpointy

OK, ale co w przypadku prostej strony-wizytówki, typu "oferta, kontakt, o nas"? Żadnych endpointów, nic się nie dzieje, jakiś szablon, PHP po stronie serwera, jakiś prosty JS na froncie i amen.

zarządzasz rekordami z poziomu CF a nie z poziomu OVH (dla mnie to duży plus)

Chodzi Ci o DNS, czy co masz na myśli mówiąc o "rekordach"?
Jeśli dobrze zrozumiałem i mówimy o DNS - czemu uważasz, że lepiej jest to robić na CF a nie OVH? Nie podważam, nie kłócę się, po prostu jestem ciekawy, na czym polega różnica. Bo dla mnie to jest to samo, jedynie różni się trochę wyglądem panelu do zarządzania ;)

Możesz dzielić się kontem, jeśli jest to strona prywatna to spoko, ale jak firmowa i inni mają mieć dostęp w pracy/organizacji to jest możliwość udostępnienia konta/strony.

Jakim kontem? Rozwiniesz myśl, bo tak średnio rozumiem, co chciałeś przekazać :(

firewallu wykluczyć porty 80 i 443 tylko dla Cloudflare

Tak, to jest genialne - masz listę adresów IP CF - https://www.cloudflare.com/ips-v4 i tak, jak piszesz - dopuszczasz jedynie ruch WWW z tych adresów, a reszta dostaje DROP. Tylko ponownie pytanie - czy takie coś ma sens w przypadku prostej strony?

Co konkretnie masz na myśli z tym toolem od czytania TCP handshake?

Tutaj dopisuję się do pytania @some_ONE - co masz na myśli? Co można podsłuchać - czy chodzi o ustalenie adresu IP serwera, który jest ukryty za CF, czy o co chodzi?

wiele innych ficzerów których nie mogę wymienić z pamięc

Jak coś Ci się przypomni to dopisz proszę, bo widzę, że masz fajną wiedzę i doświadczenie w tym temacie, a ja dopiero uczę się, jak to działa.

dodatkowe reguły cache (PageRules), wykluczyć jakieś endpointy

OK, ale co w przypadku prostej strony-wizytówki, typu "oferta, kontakt, o nas"? Żadnych endpointów, nic się nie dzieje, jakiś szablon, PHP po stronie serwera, jakiś prosty JS na froncie i amen.

Racja, raczej storny wizytówki, forum o rybkach nie miałem na myśli :) Tam CF będzie tylko zabawką dla admina

zarządzasz rekordami z poziomu CF a nie z poziomu OVH (dla mnie to duży plus)

Chodzi Ci o DNS, czy co masz na myśli mówiąc o "rekordach"?
Jeśli dobrze zrozumiałem i mówimy o DNS - czemu uważasz, że lepiej jest to robić na CF a nie OVH? Nie podważam, nie kłócę się, po prostu jestem ciekawy, na czym polega różnica. Bo dla mnie to jest to samo, jedynie różni się trochę wyglądem panelu do zarządzania ;)

klasyczne to zależy, w zasadzie to masz rację to tylko wygląd, OVH ma przyzwoity panel do zarządzania rekordami DNS, tutaj w sumie spojrzałem z racji doświadczenia gdzie niektórzy operatorzy nie zawsze mają przyzwoitą obsługę DNSów. Lub drugi przypadek gdzie w jakimś miejscu wykupujesz tylko domenę i skierowujesz sobie zarządzanie strefą do Cloudflare, nie musisz mieć dodatkowej usługi do obsługi DNSów

Możesz dzielić się kontem, jeśli jest to strona prywatna to spoko, ale jak firmowa i inni mają mieć dostęp w pracy/organizacji to jest możliwość udostępnienia konta/strony.

Tutaj też to dotyczy tylko większych aplikacji gdzie inne osoby (admin, devops, kolega) mają dostęp do strefy i zarządzania stroną z poziomu CF. Strony wizytówki to nie dotyczy.

firewallu wykluczyć porty 80 i 443 tylko dla Cloudflare

Tak, to jest genialne - masz listę adresów IP CF - https://www.cloudflare.com/ips-v4 i tak, jak piszesz - dopuszczasz jedynie ruch WWW z tych adresów, a reszta dostaje DROP. Tylko ponownie pytanie - czy takie coś ma sens w przypadku prostej strony?

No nie, nie ma :D dalej to w tym wypadku jest zabawka

Co konkretnie masz na myśli z tym toolem od czytania TCP handshake?

Tutaj dopisuję się do pytania @some_ONE - co masz na myśli? Co można podsłuchać - czy chodzi o ustalenie adresu IP serwera, który jest ukryty za CF, czy o co chodzi?

Tutaj toola wrzuciłem dla przykładu tylko, jakby ktoś powiedział że używa CloudFlare do zablokowania możliwości podejrzenia gdzie ma serwer, bo też zdarzyło mi zdziwienie i pytanie od klienta dlaczego tak

kbi64 napisał(a):

Tutaj toola wrzuciłem dla przykładu tylko, jakby ktoś powiedział że używa CloudFlare do zablokowania możliwości podejrzenia gdzie ma serwer, bo też zdarzyło mi zdziwienie i pytanie od klienta dlaczego tak

No ale dalej nie rozumiem.
Jak masz stronkę za CF to jak najbardziej ukryjesz przed użytkownikami końcowymi IP/lokalizację swojego serwera.

Co do ukrywania IP no to są toole do tego, które czytają sobie TCP handshake, np. to:
https://search.censys.io/

W sumie to coś w tym jest...
Mam jakąś zabawkowo-testową stronę na OVH, ukrytą za CF.
Jak robię ping domena.pl to dostaję inny adres, niż IP servera na OVH
ALE
korzystając z w/w narzędzia dostałem to, co widać na poniższym obrazku (plus poprawnie rozpoznany adres IP serwera OVH)

nie wiem jak to działa - ale widzę, że dało poprawny wynik. Zwłaszcza, że jest jawnie napisane OVH plus widać usługi, które są postawione na serwerze i które na pewno nie są przez CF przepuszczane.

No tak, tylko to jak dla mnie nie jest w ogóle związane z CF i sam Cloudflare IP twojego serwera na który kieruje ruch ukrywa.

Podawałeś przykład raportu dla 4P (oczywiście już ten głupi tool każe mi się logować i nie mogę go podejrzeć), ale co najmniej połowa rzeczy to jakieś śmieci - jakieś losowe domeny powypisywał niezwiązane z 4P, bo pewnie były gdzieś podlinkowane.
Adresy serwerów 4P, które podał to adresy Cloudflare.

To, że i 4P jakiś związek z OVH ma to nie problem wykryć, bo wystarczy proste query DNS o rekordy MX - https://www.digwebinterface.com/?hostnames=4programmers.net&type=MX&ns=resolver&useresolver=8.8.4.4&nameservers=
Przy rekordach TXT pojawia się jakiś IP w SPF - https://www.digwebinterface.com/?hostnames=4programmers.net&type=TXT&ns=resolver&useresolver=8.8.4.4&nameservers=, który wskazuje na pule adresów z Hetznera.
Jeśli w jakimś innym rekordzie DNS znajdzie się IP strony no to Cloudflare już na to nic nie poradzi i bez firewalla prosta droga do przeskanowania portów i określenia jakie usługi tam działają (HTTP, FTP, SSH, itp.)

Odświeżysz stronkę 4P i w zwracanych nagłówkach masz x-powered-by: PHP/8.0.10.
Niektóre toole nawet po nazwach ciasteczek określają z jakiej technologii korzysta stronka pod spodem.

ale co najmniej połowa rzeczy to jakieś śmiec

Może masz rację - w przypadku 4P. Wcześniej sprawdziłem to na swojej domenie do testów/zabaw i nauki. I tam wszystko się zgadzało - adres IP pokazało prawdziwy (a nie to, co się pinguje, gdy wpiszę w konsoli ping cerrato.com). Usługi, które się pokazały - typy Apache, Debian, ProFtpd itp. się pokrywają z tym, co na tym serwerze stoi. Także nie zgadzam się, że to jakieś losowe/śmieciowe wpisy. Przynajmniej - nie w moim przypadku

A co do powiązań 4P z OVH - to, że maile tam stoją nie świadczy, że hosting WWW i inne usługi także. Zresztą - CF nie ma ukrywać (tak mi się wydaje, jeśli jestem w błędzie to proszę mnie sprostować) poczty czy SSH, a jedynie WWW czyli porty 80 i 443

Co do tego czy warto - podpięcie do CF to pierwsze co robię na nowej domenie, nawet jeżeli nie jestem pewien czy chmura CF będzie aktywna. Za free więc co szkodzi? Dla samego zarządzania dns warto by mieć wszystkie w jednym miejscu, zamiast paprać się z dashboardami rejestratorów. A gdy już CF faktycznie jest używane to tu jest tyle zalet że nie zmieści się w jednej wiadomości. Najbardziej podstawową dla mnie jest darmowy certyfikat. Płakać mi się chce jak widzę ogłoszenia właścicieli salonów fryzjerskich, restauracji i innych biznesików gdzie właściciele szukają kogoś do podpięcia ssl kupionego w home czy innej polskiej patoserwerowni. A wystarczy dla nich darmowy CF...

Korzystam z ich usług prawie od startu CF, i od tamtego czasu projekt ten się tak rozrósł że długo by wymieniać wszystkie narzędzia. A że jest ich tyle to nie widzę sensu nie podpinać tam domeny, bo gdy coś okaże się potrzebne to wystarczy kliknąć przycisk, niżeli czekać na delegację.