Foro de elhacker.net

Wenas wenas, tengo el plan empresarial de CloudFlare en mi sitio pero al parecer están llegando ataques directamente a la IP real del VPS Bypasseando a CloudFlare. ¿Qué procede en estos casos para que la IP nunca sea visible?  :-\  :silbar:

Estaré investigando, Saludos.

Si el servidor ha estado expuesto mucho tiempo, los atacantes tendrían tu IP y te daria un poco igual. Para evitar exponer la IP asegurate de que no tengas ningún dominio/subdominio que apunte directamente al servidor. Además si tienes un servidor de correo configurado probablemente tengas cabeceras SPF con la IP o el host para que no sean filtradas por los filtros anti-spam. Tendrias que usar un servidor de correo aparte.

Por otro lado, una vez configurado CloudFlare, te recomiendo que hagas DROP a todo el trafico que no proceda de sus IP's. Es decir, un whitelist exclusivo a estas:

https://www.cloudflare.com/ips/

(O https://www.cloudflare.com/ips-v6 y https://www.cloudflare.com/ips-v4 si prefieres actualizarlas mediante scripts).

Saludos

Gracias por la respuesta rápida  ;-)

Tengo otra duda, ¿Tengo que dejar también mi IP con el que me conecto al VPS usando SSH? Digo no vaya a ser que me quede sin poder acceder  :silbar: se que es una pregunta boba pero tampoco sé mucho de los iptables si son solo para el webServer o en general en todos los servicios en el server.

Hombre, si, si no te quedas sin acceso, yo dado que tengo una IP dinámica en casa, lo que suelo implementar es un port knocker.

https://es.wikipedia.org/wiki/Golpeo_de_puertos
https://en.wikipedia.org/wiki/Port_knocking

Relativamente sencillo de configurar. De esta manera bloqueas todo el trafico pero si una IP en dado momento "golpea" 3-4 puertos en un periodo determinado, la haces un whitelist temporal para que se pueda conectar a X servicio. En debian/ubuntu tienes knockd.

Si necesitas ayuda implementandolo, avisa.

Saludos

Gracias lo pude resolver con tu ayuda, aunque ese dia no te pude responder, muchas gracias de verdad  ;-)