mastodon.zunda.ninja is one of the many independent Mastodon servers you can use to participate in the fediverse.
Zundon is a single user instance as home of @zundan as well as a test bed for changes of the code.

Administered by:

Server stats:

1
active users

Outbound トラフィックと Inbound トラフィックの IPアドレスを分離したい

@u1_liquid リクエストを受ける方にリバースプロキシを置いたりしても分けられるかもですねー(大物だとAWSのロードバランサ的な)

@zundan@mastodon.zunda.ninja AWSだったらかんたんにできますよね、、、オンプレとかAWS以外のVPSサービスでの実装方法をちょっと考えてました🤔

@u1_liquid ロードバランサ高い(スケールすると安い)んですけどねw 自分でやるとしたら別のIPアドレスがあるマシンでnginxを動かしとく感じかな?(やったことないんだけど

@zundan@mastodon.zunda.ninja まぁそうなるかもしれませんね
これがやりたかったのはActivityPub上の鯖同士でも実のIPアドレスを露出せずDDoSセーフな環境がほしいということだったのでなるべくはマシン一つにしたいんですけど
🥴

zunda

@u1_liquid なるほどー。お安くお気軽にやるとしたらCloudflareさんを通すとかかもですねー。

@zundan@mastodon.zunda.ninja ActivityPubの鯖は仕組み上鯖自ら他の鯖にリクエストを送るしかないのでCloudflareだけではちょっとしたAPT攻撃にも対応できませんでした(悪意のある者がHTTP鯖を建てて、攻撃対象となる鯖からWebFinger照会を誘導すると鯖のIPがバレてしまう)のでOutbound トラフィックを他のIPに分離したいということです😵

@u1_liquid あ、なるほど。Cloudflareを使う場合は、origin側でCloudflare以外からのinboundのパケットをdropしちゃう https://www.cloudflare.com/ips/ 必要があるかもですね。OutboundのIPアドレスを変えるにはAWSだとVPCの中に入れてNAT Gatewayを経由させることになるんだけど、これはコストかかりそう…。

www.cloudflare.comIP RangesThis page is intended to be the definitive source of Cloudflare’s current IP ranges.

@zundan@mastodon.zunda.ninja おー!このドキュメントの存在を忘れてました😇Cloudflare以外からのアクセスをdropするだけで済むことだったかもしれませんね🤯
まぁ完全に安全になることではなさそうですけど、、、