Drücke „Enter”, um zum Inhalt zu springen.

Nur TrafficFilter Verbindungen erlauben

Veröffentlicht 26. Juli 2024

Zuletzt aktualisiert am 22. Juli 2024

Dieser Blog-Post wird Ihnen beibringen, warum Ihre Firewall resp. Ihr Webserver nur TrafficFilter.de Verbindungen erlauben sollte.

Ein häufig gesehener Trick, um Webseiten hinter einer Reverseproxy wie beispielsweise TrafficFilter anzugreifen, ist es, die Server-IP des Webseitenbetreibers hinter der Proxy ausfindig zu machen. Dies gelingt Angreifern über Tools wie beispielsweise den sehr bekannten darauf spezialisierten Suchmaschinen Censys und Shodan oder dem Abrufen ungeschützter DNS Records.

Um dieses Problem zu lösen, können Sie Ihre Firewall so konfigurieren, dass Verbindungen aus dem Internet auf Ihre Webserver nur noch durch die TrafficFilter.de Proxy angenommen werden. Dies ist ohne weitere Nebenwirkungen möglich, dank HTTP Header und IP-Adressen.

Die dazu notwendigen IP-Adressen finden Sie unter folgendem Link: https://trafficfilter.de/ips.txt

Ein weiterer Weg neben der Firewall-Einstellung ist es, diese Einstellung direkt in Ihrem Webserver vorzunehmen. Folgend eine Beispielkonfiguration/Anleitung für Ihren NGINX Webserver.

server {
    listen 80;
    listen [::]:80;

    server_name example.com;

    # Erlaubte IPv4-Adressen
    allow 45.131.109.162;
    allow 45.145.224.198;
    allow 94.130.217.86;

    # Erlaubte IPv6-Adressen
    allow 2a12:edc0:4:6232::1;
    allow 2a12:edc0:4:f78e::1;
    allow 2a01:4f8:13b:1ac8::/64;

    # Alle anderen Verbindungen werden abgelehnt
    deny all;

    location / {
        # Konfiguration für Ihren Anwendungsserver
        proxy_pass http://localhost:3000;  
        # Beispiel Proxy-Einstellung
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

In Ihrer Konfiguration ist wahrscheinlich ein Absatz mit SSL und gegebenenfalls Certbot, dies wurde der Einfachheit weggelassen. Da die SSL-Verwaltung, in der Proxy ausgeführt wird, ist es nicht zwingend notwendig, dass Sie ebenfalls ein Zertifikat implementieren.

Wir selbst nutzen ebenfalls die Hetzner Firewall, sollten Sie Hetzner Kunde sein. Diese erlaubt ebenfalls Ihren Server so zu konfigurieren, dass er auf die angegebenen Webseiten-Ports nur Traffic von unseren IP-Adressen durchlässt.

Nach dieser Anleitung ist es Ihnen nun möglich Ihren Webserver so zu konfigurieren, dass dieser nur noch TrafficFilter Verbindungen erlauben sollte. Schauen Sie sich ebenfalls gerne auf unserem Blog um, für weitere hilfreiche Tipps und Tricks bezüglich TrafficFilter.de.

Veröffentlicht in Allgemein