Deshabilitar el Proxy de CouldFlare cambia la IP a la del servidor original
Como informaba el pasado lunes día 14 en un artículo de Vista al Mar, Matar peces a cañonazos: LaLiga de Fútbol bloquea esta página Vista al Mar, LaLiga ha obligado a varios operadores de Internet a interceptar los fines de semana determinadas IPs de CouldFlare que según la organización alojan a páginas web con contenidos ilegales o peligrosos.
El problema es que esas IP bloqueadas se comparten con sitios web totalmente legítimos, como es el caso de Vista al Mar, con el consiguiente perjuicio para sus editores y, por ende, a sus visitantes que no pueden acceder a sus contenidos.
Yo expuse la cuestión el mismo lunes en un hilo de la Comunidad de CouldFlare y uno de los administradores me contestaba:
"Los servidores DNS no tienen ningún efecto; el problema es la dirección IP asignada. No se puede cambiar; de lo contrario, los sitios bloqueados harían lo mismo y, en consecuencia, todo el espacio IP de Cloudflare quedaría bloqueado".
"El direccionamiento IP dedicado requiere un complemento para el plan Enterprise (que cuesta 200$ al mes). Cambiar al plan Pro cambiará tus direcciones IP con respecto a las del plan gratuito, pero no hay garantía de que esas nuevas IP no se compartan con un sitio que esté, o pueda estar, bloqueado".
Es decir CouldFlare asigna aleatoriamente al cliente las direcciones IP de sus servidores no garantizando que las mismas sean las que estén o puedan llegar a estar bloqueadas.
Bucando en Google di con un hilo de la misma Comunidad de CouldFlare del pasado 31 de marzo en el que apuntaban a una solución, no la ideal pero que no obliga a cambiar los servidores DNS a los del proveedor de alojamiento.
Proxy status
En el detalle de los registros DNS de CouldFlare (donde se indican las IP originales del servidor que deben ser canalizadas a traves de los servidores de CouldFlare) existe un interruptor que permite canalizar el tráfico a través del Proxy de CouldFlare o utilizar sólo sus DNS. Si editamos el registro nos saldrá esto:
Para hacer una prueba, en un subdominio llamado Háblame del Mar he escogido la opción "Solo DNS" en las registros "A" para IPv4 y "AAAA" para IPv6 (con recuadro rojo en la siguiente imagen, con recuadro azul los registros del dominio principal Vista al Mar que aún están redirigidos mediante proxy):
Ahora, al hacer una consulta desde el terminal de Linux, da el siguiente resultado con el comando nslookup, que muestra información que se puede usar para diagnosticar la infraestructura del Sistema de nombres de dominio (DNS).
Para https://hablame.vistaalmar.es/
# nslookup hablame.vistaalmar.esServer: 213.186.33.99Address: 213.186.33.99#53
Non-authoritative answer:Name: hablame.vistaalmar.esAddress: 142.4.210.8Name: hablame.vistaalmar.esAddress: 2607:5300:60:f08::1
Que son las IPs de mi servidor original
Para https://www.vistaalmar.es/
# nslookup vistaalmar.esServer: 213.186.33.99Address: 213.186.33.99#53
Non-authoritative answer:Name: vistaalmar.esAddress: 104.21.64.1Name: vistaalmar.esAddress: 104.21.96.1Name: vistaalmar.esAddress: 104.21.80.1Name: vistaalmar.esAddress: 104.21.48.1Name: vistaalmar.esAddress: 104.21.112.1Name: vistaalmar.esAddress: 104.21.32.1Name: vistaalmar.esAddress: 104.21.16.1Name: vistaalmar.esAddress: 2606:4700:3030::6815:5001Name: vistaalmar.esAddress: 2606:4700:3030::6815:3001Name: vistaalmar.esAddress: 2606:4700:3030::6815:2001Name: vistaalmar.esAddress: 2606:4700:3030::6815:4001Name: vistaalmar.esAddress: 2606:4700:3030::6815:7001Name: vistaalmar.esAddress: 2606:4700:3030::6815:6001Name: vistaalmar.esAddress: 2606:4700:3030::6815:1001
Donde las IPs tanto de IPv4 como de IPv6 son de CouldFlare.
Beneficios e inconvenientes de deshabilitar el redireccionamiento mediante proxy de CouldFlare
Si bien los registros DNS hacen que el sitio web o aplicación estén disponibles para los visitantes y otros servicios web, el estado de proxy de un registro DNS define cómo Cloudflare trata las consultas DNS entrantes para ese registro.
Los registros que puedes redirigir a través de Cloudflare son registros utilizados para la resolución de direcciones IP, es decir, registros A, AAAA o CNAME.
Beneficios del Proxy
Cuando configuras un registro DNS como proxyizado (también conocido como orange-clouded), Cloudflare puede:
• Proteger tu servidor de origen de ataques DDoS
• Optimizar, almacene en caché y proteja todas las solicitudes a tu aplicación.
• Aplicar configuraciones personalizadas para una variedad de productos de Cloudflare.
Con el proxy activado una consulta DNS al registro proxy vistaalmar.es se responderá con una dirección IP anycast de Cloudflare en lugar de [142.4.210.8 nombre de dominio]. Esto garantiza que las solicitudes HTTP/HTTPS para este nombre se envíen a la red de Cloudflare y puedan ser redirigidas mediante proxy, lo que permite las ventajas mencionadas anteriormente.
Registros solo de DNS (Inconvenientes)
Cuando un registro A, AAAA o CNAME es solo de DNS (también conocido como de nube gris), las consultas DNS para estos se resolverán en la dirección IP de origen del registro.
Además de exponer potencialmente las direcciones IP de origen a actores maliciosos y ataques DDoS, dejar los registros solo como DNS significa que Cloudflare no puede optimizar, almacenar en caché ni proteger las solicitudes a su aplicación ni proporcionar análisis sobre esas solicitudes.
Es decir que si deshabilitamos el redireccionamiento mediante proxy de CouldFlare no obtendremos los beneficios que da el servicio.
Esta solución temporal puede esquivar los bloqueos de direcciones IP por LaLiga sin tener que prescindir totalmente de CouldFlare (en esta misma página Apañados.es lo utilizamos y la IP de CouldFlare no está entre las bloqueadas). Aunque te dará algo de trabajo extra, puedes utilizarla en momentos puntuales como los fines de semana para luego volver a habilitar el botón "Redirigido mediante proxy".
El sábado 19 de abril realizamos una prueba satisdactoria de que funciona: Prueba de la solución antibloqueo de CouldFlare por LaLiga
