Обзор Cloudflare, подключение к Nginx

Cloudflare — американская компания, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS. Сервисы Cloudflare работают как обратный прокси (reverse proxy) для сайта. Cloudflare охватывает более 100 стран, а прямые подключения к платформе имеют более 11 тысяч сетей, включая хостинг-провайдеров и крупных предприятий.

Веб-мастера часто используют его, тем более что у сервиса есть бесплатный тариф, которого вполне хватает для базовых нужд.

В это статье подразумевается, что вы уже добавили свой домен в Cloudflare и у вас настроен Nginx или Apache.

Основные возможности Cloudflare:

1. Защита от DDoS-атак: Сам факт подключения сайта к сети Cloudflare уже дает определенный уровень защиты от DDoS . Злоумышленники не видят IP-адрес сайта, поэтому вынуждены атаковать его через сам сервис. Cloudflare в свою очередь фильтрует запросы таким образом, чтобы на сайт попадал только безопасный трафик. Платформа имеет 250 центров обработки данных по всему земному шару, которые используются для кибербезопасности.
2. Увеличение скорости с помощью CDN: Cloudflare состоит из системы CDN-серверов, кэширующих статический контент (видео, изображения) и код (HTML, CSS, JavaScript). Когда пользователь отправляет запрос на сайт, служба определяет его местоположение и отправляет ответ из ближайшего клиента CDN-сервера. Благодаря этому уменьшается время отклика сайта и нагрузка на выделенный сервер, хостинг или VPS/VDS, что положительно влияет на показатели скорости.

Изменять, добавлять и редактировать ресурсные записи можно в разделе «DNS». Для записей вы можете выбрать один из статусов проксирования:

• Настройка «Proxied» (оранжевое облако) говорит о том, что вместо вашего IP-адреса будет указан адрес Cloudflare. Все запросы проксируются, то есть поступают сначала на сервера компании, а после отправляются на сервер, где сайт фактически размещен.
• «DNS only» (серое облако) означает, что при обращении к домену Cloudflare будет отдавать IP-адрес вашего сервера. Настройки кеширования, Firewall и другие не будут применяться.

Чтобы изменить статус, нажмите на запись для перехода в режим редактирования, кликните на облако для изменения и нажмите «Save».

При использовании «Proxied» на бесплатном тарифе, подключиться по проксируемому домену к почте, FTP и SSH на хостинге не получится. Cloudflare пропускает запросы к вашему сайту только по 80 и 443 порту, поэтому используйте для подключения к почте и другим сервисам IP-адрес сервера, на котором находится ваш аккаунт (указан в Панели управления, раздел «Сайты и домены» → «IP-адреса»).

На приведённых ниже диаграммах показаны различные способы обработки IP-адресов с Cloudflare:

1 режим. Проксирование Cloudflare выключено: исходные IP-адреса посетителей появляются в логах вашего веб-сервера. (Original vistors IPs appear in your logs).

2 режим. Обратный прокси Cloudflare включен, но расширения на вашем веб-сервере не настроены: вместо исходных IP-адресов посетителей в логах вашего веб-сервера вы будите видеть IP Cloudflare.

3 режим. Обратный прокси Cloudflare включен, и вы настроили расширения на вашем веб-сервере: исходные IP-адреса посетителей появляются в логах вашего веб-сервера.

Используйте mod_remoteip для настройки связи между Cloudflare и веб-сервером Apache.

Стандартная проблема всех обратных прокси (reverse proxy) в том что, сервер за прокси не видит реальный IP адресс посетителя сайта. Соответственно и решение этой проблемы тоже стандартное и хорошо описано на английском языке в официальной документации Cloudflare: Restoring original visitor IPs (Восстановление исходных IP-адресов посетителей)

Пошаговая настройка связки Cloudflare (в режиме обратного проксирования) с веб-сервером Nginx.

Копируем текущий список IP адресов Cloudflare (раздел Nginx). Раскоментируем строку real_ip_header X-Forwarded-For; и вставим в конфигурационный файл Nginx nginx.conf в раздел http.

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/13;
set_real_ip_from 104.24.0.0/14;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2c0f:f248::/32;
set_real_ip_from 2a06:98c0::/29;
 
#use any of the following two
 
#real_ip_header CF-Connecting-IP;
real_ip_header X-Forwarded-For;

Применяем конфигурацию

systemctl reload nginx

Всё! Проверяем логи Nginx, там вы должны увидеть настоящие IP посетителей вашего сайта.

Читайте также: Где получить SSL сертификат бесплатно? Использование центра сертификации Let’s Encrypt, Бесплатные Быстрые Публичные DNS Сервера (DNS Leak).

В Cloudflare доступна маршрутизация электронной почты. С помощью этой опции можно создавать множество новых электронных ящиков на домене и перенаправлять письма из них на рабочие адреса. Это позволяет скрыть реальный почтовый ящик и обезопасить его от попыток взлома. 

Чтобы подключить маршрутизацию, нужно ввести новое имя для ящика, который хотите создать, в поле «Custom address» и адрес рабочей почты, на который планируете отправлять письма, в поле «Destination address». После этого вы получите письмо для верификации почты для перенаправления. Верификация происходит только один раз, после чего можно добавлять в этот ящик любое количество адресов.

Вторая полезная функция – это безопасность почты. Эта функция помогает защищать почту от попыток взлома и атак фишинга. Для работы с ней необходимо отправить запрос на использование пробной версии.

Вопрос: Имеется несколько купленных сертификатов для доменов/поддоменов. Если в настройках cloudflare указать SSL - Full, то все прекрасно работает, но подставляется сертификат от Сloudflare.

Ответ: Установите ваш купленный сертификат у себя на сервере, потом в настройки CloudFlare → Crypto → SSL выбираете Strict.

Ссылки: Настройка Cloudflare для сайта