Outbound トラフィックと Inbound トラフィックの IPアドレスを分離したい
@u1_liquid リクエストを受ける方にリバースプロキシを置いたりしても分けられるかもですねー(大物だとAWSのロードバランサ的な)
@zundan@mastodon.zunda.ninja AWSだったらかんたんにできますよね、、、オンプレとかAWS以外のVPSサービスでの実装方法をちょっと考えてました
@u1_liquid ロードバランサ高い(スケールすると安い)んですけどねw 自分でやるとしたら別のIPアドレスがあるマシンでnginxを動かしとく感じかな?(やったことないんだけど
)
@zundan@mastodon.zunda.ninja まぁそうなるかもしれませんね
これがやりたかったのはActivityPub上の鯖同士でも実のIPアドレスを露出せずDDoSセーフな環境がほしいということだったのでなるべくはマシン一つにしたいんですけど
@u1_liquid なるほどー。お安くお気軽にやるとしたらCloudflareさんを通すとかかもですねー。
@zundan@mastodon.zunda.ninja ActivityPubの鯖は仕組み上鯖自ら他の鯖にリクエストを送るしかないのでCloudflareだけではちょっとしたAPT攻撃にも対応できませんでした(悪意のある者がHTTP鯖を建てて、攻撃対象となる鯖からWebFinger照会を誘導すると鯖のIPがバレてしまう)のでOutbound トラフィックを他のIPに分離したいということです
@u1_liquid あ、なるほど。Cloudflareを使う場合は、origin側でCloudflare以外からのinboundのパケットをdropしちゃう https://www.cloudflare.com/ips/ 必要があるかもですね。OutboundのIPアドレスを変えるにはAWSだとVPCの中に入れてNAT Gatewayを経由させることになるんだけど、これはコストかかりそう…。
@zundan@mastodon.zunda.ninja おー!このドキュメントの存在を忘れてました
Cloudflare以外からのアクセスをdropするだけで済むことだったかもしれませんね
まぁ完全に安全になることではなさそうですけど、、、