BikeGremlin pretraga...

Kako podesiti Cloudflare DNS

od
Cloudflare opcije za eksport postojećih DNS zapisa

Servis iz naslova detaljnije sam objasnio u posebnom članku: Cloudflare objašnjen (šta nudi, kako radi). Drugi članak nudi detaljno objašnjenje DNS-a i DNS zapisa. U ovom članku detaljno ću se baviti podešavanjem Cloudflare DNS-a.

Sadržaj:

  1. Uvod – početna DNS podešavanja
  2. Cloudflare DNS podešavanja
  3. Kada ne treba koristiti Cloudflare kao proxy?
  4. Zaključak i završne napomene
    4.1. Lično mišljenje autora


1. Uvod – početna DNS podešavanja

Ako već imate podešen DNS za svoj sajt i potom sajt dodate na Cloudflare (podešavanjem nameservera na Cloudflare-ove), Cloudflare će “povući” sva postojeća podešavanja DNS-a (tako da nećete kretati baš od nule).

Ovo uputstvo pisaću za slučaj da krećete od nule – računajući da je lako preskočiti ono što se ne mora raditi (tj. što vidite da je već dobro urađeno).


2. Cloudflare DNS podešavanja

Kod Cloudflare-a, DNS zapisi se dodaju i podešavaju u DNS meniju:

Cloudflare DNS opcije
Otvorite DNS opcije u glavnom meniju (1)
Kliknite na “+Add record” (2) da dodate novi zapis
ili kliknite na vrednost postojećeg zapisa (3) da biste ga izmenili
Kada sve završite, kliknite na bilo koji drugi meni (poput “SSL/TLS”) i izmene će biti propagirane
Slika 1


Za primer ćemo uzeti jedan već podešen sajt, pa objasniti sve što je tu podešeno – kako i zašto:

Cloudflare DNS podešavanje
Cloudflare DNS podešavanje
Slika 2


Za objašnjenje MX i TXT zapisa – a i svih ostalih – pročitajte moj (već gore pomenut) članak o DNS podešavanjima. Isto važi i za objašnjenje TTL vrednosti.

Sad pogledajte sliku dva i obratite pažnju na sive oblačiće (“DNS only”) i na narandžaste (“Proxied”). U čemu je štos? Narandžasti oblaci koriste Cloudflare kao proxy. “Dobro, a šta to znači?” možete se zapitati. Da pojasnimo.

Pogledajte prvi A zapis koji glasi:

A   ftp   172.217.22.4   DNS only

Taj zapis šalje svakog ko traži ftp.ivetamakeup.com na IPv4 adresu 172.217.22.4. Direktno. Čineći tu IPv4 adresu javno vidljivom svakom ko radi DNS upit za domen ivetamakeup.com.

Sad pogledajte drugi A zapis na slici 2, sa narandžastim oblačićem:

A   ivetamakeup.com   172.217.22.4   Proxied

Ovaj zapis odnosi se na domen ivetamakeup.com. S tim što neće otkriti IPv4 adresu, već će svi posetioci biti usmereni ka Cloudflare serveru koji im je najbliži. Na taj način Cloudflare igra ulogu proxy-ja. Analizira zahteve i pruža određen stepen zaštite. Takođe, služi verzije stranica i slika iz keša na svojim serverima i na taj način rasterećuje hosting server, dok posetiocima pruža brže učitavanje stranica sajta. U posebnom članku sam dao objašnjenje keširanja, proxy-ja i CDN-a.


3. Kada ne treba koristiti Cloudflare kao proxy?

Servisi kao što su mail i FTP ne rade kada se tu umeša Cloudflare kao proxy. Isto važi i za cpanel.mojsajt.com. Oni mogu raditi samo preko “sivog oblačića”, kada Cloudlfare radi kao običan DNS.

Kako namestiti da sajt bude zaštićen (bez otkrivanja IP adrese direktno), a da FTP i mejl budu funkcionalni? Ja to radim ovako (ne tvrdim da nema drugih, možda i boljih načina, javite ako provalite u sekciji za komentare na kraju članka):

Za FTP se može koristiti link koji se dobije od hosting provajdera. Na kontrol panel se može ulogovati preko sajta hosting provajdera. Takođe, može se podesiti i poseban, “radni” domen na hosting serveru.

Za mejl, najbolje je koristiti poseban servis (a ne onaj što nudi hosting provajder), kao što je MXroute na primer.

Ako tako uradimo, na slici 2 se prvi zapis može slobodno obrisati. Na taj način ni jedan DNS zapis ne vodi direktno do hosting servera.

Drugi problem može nastati prilikom instaliranja SSL/TLS sertifikata. Napisaću poseban članak na tu temu, čim stignem. Za sada će morati poslužiti link postavljen u prvoj rečenici ovog pasusa, kao i ovaj link koji objašnjava instaliranje SSL/TLS sertifikata u DirectAdmin kontrolnom panelu.

Dok ne napišem članak, reći ću najvažnije, ukratko:

Ako koristite Cloudflare, a nemate već instalirane SSL/TLS sertifikate na hosting serveru, može se desiti da se i ne mogu instalirati za DNS zapise koji su sa narandžastim oblačićem (idu preko Cloudflare proxy-ja). Isto tako, nećete moći instalirati, niti obnoviti sertifikate za DNS zapise koji niste uneli na Cloudflare (pošto je sada to vaš nameserver / DNS).

Zato treba paziti pri izboru zapisa za koje se pokušava instalacija sertifikata (čekirati samo one koji su potrebni, tj. postoje na Cloudflare). Ovakva “restriktivna politika” je dobra i zbog zaštite: manja je “površina za napad”. Niko ne može zloupotrebiti ftp.vasdomen.com ako on i ne postoji. Mislim da je ovo dobar primer upotrebe “obezbeđivanja kroz sakrivanje” (eng. “security through obscurity”).


4. Zaključak i završne napomene

Cloudflare u besplatnom paketu usluga puno više pomaže, nego što komplikuje stvari.

Omogućava brzu i laku migraciju sajta, tako što se u slučaju bilo kakvih problema, posetioci mogu preusmeriti nazad na stari server prostom promenom IP adrese u A zapisima DNS-a. Propagacija DNS-a sa Cloudflare servisom je veoma brza (često traje samo minut-dva za zapise koji koriste Cloudflare proxy).

Pored zaštite, nudi i brže učitavanje stranica za posetioce koji su udaljeni od hosting servera – mada onima koji su blizu servera često produžuje vreme učitavanja za koju desetinku. U proseku je ipak vreme učitavanja kraće, barem iz mog iskustva.

4.1. Lično mišljenje autora

Informacije date u ovom poglavlju shvatite kao moje lično mišljenje, odnosno: “koliko ja znam”.

Važno: odnosi se na sve podatke koji se kriptuju na putu sa vašeg hosting servera i ka njemu pomoću SSL/TLS enkripcije (https protokol). Svi podaci se dekriptuju na Cloudflare proxy serverima (osim ako koristite “sivi oblačić”, kada Cloudflare radi kao običan DNS). Zatim se ponovo kriptuju na putu ka i od posetilaca sajta. U suprotnom keširanje i zaštita ne bi mogli da rade. To znači da Cloudflare (tj. njegovi vlasnici) mogu videti sve podatke. Mogu ih snimiti, kao i podeliti sa drugima. Mogu ih čak i menjati ako to žele – tj. ponašati se kao man-in-the-middle napadač.

Da li Cloudflare ovo radi? Kunu se da ne rade. To bi svakako srušilo svu reputaciju koju su izgradili. Takođe, poslovni model im je baziran na prodaji dodatnih usluga, meni deluje da je dobar i da nemaju potrebu rizikovati sa prodajom podataka korisnika (za razliku od nekih drugih velikih kompanija). Ipak, mislim da je pošteno da kažem, kad već to znam, da su tehnički u poziciji da mogu to uraditi. Kao i Google, Cloudlfare je veliki brat koji se (za sada) ljubazno smeši i nudi nam puno super stvari za džabe. Ja ga koristim, ali su mi sajtovi namešteni tako da lako mogu raditi i bez Cloudflare.

Ako pročitate ovaj izveštaj o pokušaju phishing napada na Cloudflare (link ka njihovom sajtu), shvatićete zašto mislim da je zaštita u Cloudflare-u iznad proseka.


Molim Vas da koristite BikeGremlin.net forum za sva pitanja i komentare.

Ako ste primetili neku grešku u članku, ili informacije koje nedostaju - molim Vas da mi na to skrenete pažnju komentarom na BikeGremlin forumu.
Na forumu možete pisati anonimno (stavite bilo koje ime/nadimak pri registraciji), ali mislim da je dobro da sve dopune i ispravke članaka budu javno dokumentovane (čak i ako njihov autor izabere da ostane anoniman).

Skip to content