Разработчикам

BitrixVM5.1.4 Cloudflare и ip адрес посетителя сайта

RSS

Пользователь 51228

Заглянувший

Сообщений: 33 Баллов: 1 Регистрация: 25.10.2009

31.10.2015 15:37:18

Cloudflare как прокси для защиты от DDOS и при этом хочется видеть реальные ip посетителей, а не ip серверов Cloudflare
На сайте поддержки Cloudflare есть инструкция
Создаем cloudflare.conf к примеру в /etc/nginx/bx с содержимым из инструкции
Но Nginx не стартует, судя по всему сборка в BitrixVM5.1.4 не содержит плагин ngx_http_realip_module

Может кто сталкивался, каким образом добавить плагин не сломав Nginx в BitrixVM5.1.4 ?

Пользователь 51228

Заглянувший

Сообщений: 33 Баллов: 1 Регистрация: 25.10.2009

31.10.2015 19:33:58

Суть проблемы одинакова как для Cloudflere так и для любого другого сервис провайдера услуг защиты от DDOS
Возможно стоит включить возможность (плагин) в BitrixVM (не мешающий тем кому не нужен и решающий проблему тех кто столкнулся с DDOS но не попрощался с аналитикой)

Александр Суворов Администратор Сообщений: 1241 Баллов: 107 Регистрация: 27.11.2007	#3 02.11.2015 13:01:50 Защита от DDOS есть в продукте http://www.1c-bitrix.ru/ddos/

Пользователь 51228

Заглянувший

Сообщений: 33 Баллов: 1 Регистрация: 25.10.2009

02.11.2015 14:38:14

Защита есть, но какой ip адрес посетителя будет в веб-аналитике при использовании этой защиты, а ip будут сервера Qrator через который идет трафик
То есть проблема одинакова поскольку защита от DDOS подразумевает прохождение трафика через посредника (провайдера защиты) и неважно как он называется Qrator или Cloudflare

Преимущество Qrator в его локальности как поставщика услуги, но по моему скромному мнению суть связки 1С-Битрикс + Qrator это маркетинговая акция, канал продаж позволяющий предложить услуги защиты клиентам 1C-Битрикс с 10 дневным пробным периодом

Не собираюсь нахваливать Cloudflare но там есть свои плюсы, к примеру можно заблаговременно перейти (сменить ns), получить базовую защиту и включать выключать защиту одной кнопкой что удобно

Еще раз повторюсь что проблема общая для любого провайдера DDOS, а реальный адрес посетителя почти всегда очень важен, у nginx есть плагин ngx_http_realip_module позволяющий решить задачу и может стоит включить его в сборку nginx BitrixVM

Пользователь 53386

Постоянный посетитель

Сообщений: 269 Баллов: 26 Регистрация: 01.12.2009

02.11.2015 15:02:35

Сергей Овчар, nginx в BitrixEnv собран с модулем http_realip_module, убедится можно командой

Код
nginx -V

Если опасаетесь править конфиги nginx, то создайте файл с любым названием в каталоге /etc/nginx/bx/maps, например cludflare.conf с таким содержимым:

Код

#CloudFlare
set_real_ip_from 199.27.128.0/21;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20; 
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
real_ip_header CF-Connecting-IP;

далее в консоли:

Код
nginx -t

и если тесто пройдет , то:

Код
service nginx restart

Пользователь 51228

Заглянувший

Сообщений: 33 Баллов: 1 Регистрация: 25.10.2009

02.11.2015 16:09:12

Спасибо, модуль действительно есть, файл добавил, после выполнения nginx -t выдает ошибку
http://1drv.ms/1MsU07H

содержимое файла cloudflare.conf

#CloudFlare
set_real_ip_from 103.21.244.0/22
set_real_ip_from 103.22.200.0/22
set_real_ip_from 103.31.4.0/22
set_real_ip_from 104.16.0.0/12
set_real_ip_from 108.162.192.0/18
set_real_ip_from 141.101.64.0/18
set_real_ip_from 162.158.0.0/15
set_real_ip_from 172.64.0.0/13
set_real_ip_from 173.245.48.0/20
set_real_ip_from 188.114.96.0/20
set_real_ip_from 190.93.240.0/20
set_real_ip_from 197.234.240.0/22
set_real_ip_from 198.41.128.0/17
set_real_ip_from 199.27.128.0/21
set_real_ip_from 2400:cb00::/32
set_real_ip_from 2405:8100::/32
set_real_ip_from 2405:b500::/32
set_real_ip_from 2606:4700::/32
set_real_ip_from 2803:f800::/32
real_ip_header CF-Connecting-IP;

Пользователь 53386 Постоянный посетитель Сообщений: 269 Баллов: 26 Регистрация: 01.12.2009	#7 02.11.2015 16:21:12 Сергей Овчар, выложите сюда конфиг который Вы создали, возможно добавились лишние символы, приведенный мной пример точно не дает ошибок.

Пользователь 51228

Заглянувший

Сообщений: 33 Баллов: 1 Регистрация: 25.10.2009

02.11.2015 16:28:40

Версия BitrixVM 5.1.4, конфиг http://1drv.ms/1NMhDLS

#CloudFlare
set_real_ip_from 103.21.244.0/22
set_real_ip_from 103.22.200.0/22
set_real_ip_from 103.31.4.0/22
set_real_ip_from 104.16.0.0/12
set_real_ip_from 108.162.192.0/18
set_real_ip_from 141.101.64.0/18
set_real_ip_from 162.158.0.0/15
set_real_ip_from 172.64.0.0/13
set_real_ip_from 173.245.48.0/20
set_real_ip_from 188.114.96.0/20
set_real_ip_from 190.93.240.0/20
set_real_ip_from 197.234.240.0/22
set_real_ip_from 198.41.128.0/17
set_real_ip_from 199.27.128.0/21
set_real_ip_from 2400:cb00::/32
set_real_ip_from 2405:8100::/32
set_real_ip_from 2405:b500::/32
set_real_ip_from 2606:4700::/32
set_real_ip_from 2803:f800::/32
real_ip_header CF-Connecting-IP;

Пользователь 53386

Постоянный посетитель

Сообщений: 269 Баллов: 26 Регистрация: 01.12.2009

02.11.2015 16:49:19

Прошу прощения, разместил конфиг из статьи с cloudflare, в нем не хватает точки с запятой в каждой строке с указанием адресов, нужно так:

Код

#CloudFlare
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 199.27.128.0/21;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
real_ip_header CF-Connecting-IP;

Пользователь 51228 Заглянувший Сообщений: 33 Баллов: 1 Регистрация: 25.10.2009	#10 03.11.2015 10:22:05 Спасибо, добавил ; и все работает

Пользователь 283497

Заглянувший

Сообщений: 9 Регистрация: 22.09.2014

#11

01.09.2020 00:40:24

Updated List 2020

Код

  GNU nano 2.3.1                                               File: /etc/nginx/bx/maps/cloudflare.conf                                                                                          Modified  

#CloudFlare
set_real_ip_from 199.27.128.0/21;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2a06:98c0::/29;
set_real_ip_from 2c0f:f248::/32;
real_ip_header CF-Connecting-IP;

Пользователь 4046089

Посетитель

Сообщений: 49 Баллов: 5 Регистрация: 16.03.2020

#12

01.09.2020 09:12:57

Чтоб не следить постоянно за списком адресов сделал sh скрипт и прописал в кронтаб на выполнение каждый день

Код

#!/bin/sh


CLOUDFLARE_IP_RANGES_FILE_PATH="/etc/nginx/bx/maps/cloudflare.conf"
WWW_GROUP="bitrix"
WWW_USER="bitrix"


CLOUDFLARE_IPSV4_REMOTE_FILE="https://www.cloudflare.com/ips-v4"
CLOUDFLARE_IPSV6_REMOTE_FILE="https://www.cloudflare.com/ips-v6"
CLOUDFLARE_IPSV4_LOCAL_FILE="/tmp/cloudflare-ips-v4"
CLOUDFLARE_IPSV6_LOCAL_FILE="/tmp/cloudflare-ips-v6"


if [ -f /usr/bin/fetch ];
then
    fetch $CLOUDFLARE_IPSV4_REMOTE_FILE --no-verify-hostname --no-verify-peer -o $CLOUDFLARE_IPSV4_LOCAL_FILE --quiet
    fetch $CLOUDFLARE_IPSV6_REMOTE_FILE --no-verify-hostname --no-verify-peer -o $CLOUDFLARE_IPSV6_LOCAL_FILE --quiet
else
    wget -q $CLOUDFLARE_IPSV4_REMOTE_FILE -O $CLOUDFLARE_IPSV4_LOCAL_FILE --no-check-certificate
    wget -q $CLOUDFLARE_IPSV6_REMOTE_FILE -O $CLOUDFLARE_IPSV6_LOCAL_FILE --no-check-certificate
fi


echo "# CloudFlare IP Ranges" > $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "# Generated at $(date) by $0" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "# IPs v4" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
awk '{ print "set_real_ip_from " $0 ";" }' $CLOUDFLARE_IPSV4_LOCAL_FILE >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "# IPs v6" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
awk '{ print "set_real_ip_from " $0 ";" }' $CLOUDFLARE_IPSV6_LOCAL_FILE >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "# Getting real ip from CF-Connecting-IP header" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "real_ip_header CF-Connecting-IP;" >> $CLOUDFLARE_IP_RANGES_FILE_PATH
echo "" >> $CLOUDFLARE_IP_RANGES_FILE_PATH


chown $WWW_USER:$WWW_GROUP $CLOUDFLARE_IP_RANGES_FILE_PATH


rm -rf $CLOUDFLARE_IPSV4_LOCAL_FILE
rm -rf $CLOUDFLARE_IPSV6_LOCAL_FILE


systemctl reload nginx.service

Пользователь 4668316

Заглянувший

Сообщений: 1 Регистрация: 24.03.2021

#13

13.02.2024 16:18:43

Цитата
написал: Защита от DDOS есть в продукте http://www.1c-bitrix.ru/ddos/

Очень развернуто!

BitrixVM5.1.4 Cloudflare и ip адрес посетителя сайта

Продукты

Управление сайтом

Битрикс24

Интернет-магазин + CRM

Решения

Для интернет-магазинов

Каталог готовых решений

Внедрение

Выбрать партнера

Проверить партнера

Стать партнером