Cloudflare Proxy

Cloudflare Proxy (Anycast IP)

• CLoudflare Proxyを設定すると、DNSは通常のA / AAAA / CNAMEではなく、Cloudflare Anycast IPを返すようになるため、Origin Serverの生IPは匿名化されるようになる
  • 効果
    • 生IP隠蔽により悪意あるトラフィックの防止が可能
    • Requestのアクセス経路の最適化によるパフォーマンス向上
  • 副作用
    • Apache / NginxのアクセスログがCloudflare Anycast IPになってしまうので、アクセス解析のためには、requestの元IPを取得するようにLogFormatをカスタマイズする必要
  • 参考
    • Cloudflare の DNS の基本：プロキシ化って何？ (Calssmethod)
    • Proxy Status (Cloudflare)

Apache

• ログ出力をカスタマイズする
  • sudo apachectl -t -D DUMP_MODULES | grep -i remoteip
    remoteip_module (shared)
    が返ればmod_remoteio.soがサーバにインストールされているのでOK
  • sudo vi /opt/bitnami/apache2/conf/httpd.conf
    LoadModule remoteip_module modules/mod_remoteip.so
LogFormat "%{X-Forwarded-For}i %h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined
CustomLog "logs/access_log" combined
  • sudo apachectl configtest
• サービス再起動
  • sudo /opt/bitnami/ctlscript.sh restart
• ログ確認
  • tail -f /opt/bitnami/apache2/logs/access_log
• 参考
  • Restoring original visitor IPs (Cloudflare)
  • Cloudflare を利用しながらユーザの IP を取得する方法 (Zenn)

WP Cerber Security

• メイン設定
  • サイト固有の設定 → サイト連携 → リバースプロキシ環境下にある場合に選択
    • を有効にする
  • 「ユーザーアクティビティ」や「トラフィック監査」のIPに、Cloudflare Anycast IPではない元IPが表示されるようになればOK
  • 参考
    • Configuring IP address detection (WP Cerber Security)