Résumé concernant l’exposition des adresses IP d’origines via des enregistrements DNS dans CloudFlare.
Adresse IP
Lorsque l’adresse IP d’un serveur est exposée, il devient plus vulnérable aux attaques directes. Si le domaine racine est protégé par CloudFlare (en nuage orange) une requête dig sur le domaine renverra une l’adresse IP de Cloudflare et celle du serveur d’origine restera cachée au public (Ceci ne s’appliquent qu’au trafic HTTP).
Il est cependant toujours possible de déterminer l’adresse IP du serveur d’origine (mais c’est plus difficile) lorsqu’on envoit du trafic vers Cloudflare.
@TODO : comprendre comment !
Cas ne fonctionnant pas
Si le domaine racine n’est pas protégé par CloudFlare (en nuage gris), un avertissement sera affiché indiquant que l’adresse IP du serveur d’origine est visible. Cet avertissement n’affecte en aucune façon le trafic destiné au site.
Les enregistrements A, AAAA ou CNAME utilisés pour le trafic de courrier ne doivent pas avoir un nuage orange car le routage du courrier ne passe pas par le proxy Cloudflare.
Enregistrement non supportés
| - autodiscover | - gameserver | - panel | - stream |
| - calendar | - git | - pda | - streaming |
| - chat | - pop | - svn | |
| - cPanel | - imap | - repo | - vid |
| - cvs | - irc | - secure | - video |
| - e | - local | - sftp | - vids |
| - localhost | - sites | - vpn | |
| - exchange | - smtp | - webmail | |
| - ftp | - mobilemail | - ssh | - webstats |
| - game | - mx | - ssl |
Piste pour le FTP
Spectrum : https://developers.cloudflare.com/spectrum/ftp
Documentation
https://support.cloudflare.com/hc/fr-fr/articles/115003687931-Avertissement-concernant-l-exposition-de-votre-adresse-IP-d-origine-via-des-enregistrements-DNS
https://support.cloudflare.com/hc/fr-fr/articles/200169626-Identifier-les-sous-domaines-compatible-avec-le-proxy-de-Cloudflare
https://developers.cloudflare.com/spectrum/ftp