Citiraj:
Autor xlr
Ako zelis ici korak dalje i imas bolju opremu na svojoj strani (ruter, firewall) mozes potpuno blokirati sav internet promet prema tvom wan-u i portovima 80/443 osim cloudflare proxy adresa:
https://www.cloudflare.com/en-gb/ips/
Na taj nacin samo promet koji ide preko proxyja moze doci k tebi, a on je onda enkriptiran i prolazi kroz cf firewall i sve one bot fight featureove... |
Ovo me zainteresiralo.
U postavke firewalla sam uključio opciju "Inbound firewall rules". Googlajući o tome, to bi trebala biti pravila koja dopuštaju određenim IP adresama pristup određenom portu u routeru, a firewall blokira sve ostalo.
Sa tvog linka sam ubacio nekoliko Cloudflare IPjeva u svoje Inbound firewall rules. Da li to sada znači da jedino promet sa tih IP-jeva ima pristup mom 443 portu ?
Port forwarding mi je i dalje uključen i 443 otvoren.
Postavke:
Citiraj:
Autor xlr
Jos malo naprednija metoda zastite je da hardver koji vrti tvoj sajt stavis u vlan/dmz i potpuno ga odvojis od svoje kucne mreze. Ako si dobro podesio svoj firewall i sto se smije a sto ne smije raditi izmedju vlan-ova, mozes se malo vise opustiti. Ovo trazi malo vise znanja/ucenja i hardver koji to moze isporuciti.
|
Nažalost VLAN mogućnost trenutno nemam, a i nije mi baš jasno, ako odvojim RPI u poseban VLAN, kako mu onda pristupim sa svog kompa koji je u drugom VLAN-u ? Zar nisu oni tada praktički na odvojenim LAN-ovima, samo ne fizički nego softverski ? Pretpostavljam da onda trebam opet neka čuda izvoditi poput Wireguard tunela između jednog i drugog
