CloudFlare

AlexSim
Posts: 12
Joined: Mon Jan 30, 2017 1:31 pm

CloudFlare

Post by AlexSim »

Привет,

уперлись у уже не знаем куда копать. админы разводят руками.
все форвардинги реальных айпи настроены, прокси кликов в админе нет

При включении проксирования всего сайта через CF, 80% трафика начинает приходить с одной подсетки. для америки это сетки Cogent
38.0.0.0-38.255.255.255

выглядит это на малом трафе вот так
https://prnt.sc/l9tf38

на большем - там тысячи заходов на каждый айпи. Айпи эти совершенно нигде не светятся. ставили сторонний трекер на входящий траф. нет таких айпи вообще. смотрели логи серверные... да даже tcpdump запускали пытаясь их найти. вообще никак.

Лили индию на другой сайт - ситуация один в один, только сетка другая.
Отключаем проксирование - все становится ок

Что делать то? откуда эти айпишки TCMS нашел?
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: CloudFlare

Post by admin »

Приветствую!
сам он их выдмать не мог конечно
проверить очень просто

добавляем в common.php

$f = fopen('полный путь к /log.txt', 'a');
fputs($f, date('H:i:s') . " {$_SERVER['REMOTE_ADDR']} \n");
fclose($f);

и 666 на log.txt

и в логе будет видно какой ИП приходит, думаю тут видно что в 3х строках негде ошибиться и выставить какой-то другой ип
Don't forget to run script update
AlexSim
Posts: 12
Joined: Mon Jan 30, 2017 1:31 pm

Re: CloudFlare

Post by AlexSim »

привет,

сделал логирование. таких айпи в логе нет, но там больше половина ipv6
и TCMS их конвертит ))

причем, судя по всему, берёт первые 4 байта ipv6-адреса и составляет из них ipv4-адрес
остальные 12 байт ipv6-адреса отбрасываются и потому получается что якобы приходят тысячи запросов с одного ip, хотя на деле это не так

вот пример. tcms говорит что адрес 38.5.62.128 плохой. переводим каждый октет в 16-ричную систему и получаем:
26 05 3e 80
ищем в логе ipv6-адрес начинающийся на 2605:3e80 и получаем:

2605:3e80:d00:10::4a8e
2605:3e80:d00:10::4b30
2605:3e80:d00:10::6acf
2605:3e80:d00:10::6b2e
2605:3e80:d00:10::6bdf
2605:3e80:e00:5::139b
2605:3e80:e00:5::16e1
2605:3e80:e00:5::1a29
2605:3e80:e00:5::1a9c
2605:3e80:e00:5::1e78
2605:3e80:e00:5::1e7c
2605:3e80:e00:5::1f04
2605:3e80:e00:5::22b1
2605:3e80:e00:5::273f

и ещё много адресов
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: CloudFlare

Post by admin »

да, хранит ИП4 сейчас тк ИП 6 так и не вышел пока на нормальную мощность, а размер базы пока увеличить не хотелось.

честно говоря такой список ИП говорит что все они с одного девайса

Вообще очень странно что у вас половина ИП 6 , это необычно скажем так. Пробовали поставить какой-то счетчик для теста что б посмотреть какие он будет показывать ИП?
Don't forget to run script update
AlexSim
Posts: 12
Joined: Mon Jan 30, 2017 1:31 pm

Re: CloudFlare

Post by AlexSim »

это видимо какой-то прикол CF
может быть с этими их заявлениями как-то связано
https://blog.cloudflare.com/always-on-ipv6/

с выключенным проксированием их нет

да мы ставили трекер прокладку перед TCMS, во входящем трафике этих ipv6 нет,
т.е они появляются в момент прохождения трафа через CF
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: CloudFlare

Post by admin »

Так у вас просто не настроен CF
там в remote_addr адрес CF конечно
вам надо настраивать свой сервак что б правлиьный адрес был ххедеров который он передает
обсуждали много раз и на форуме тут и у них в доках это все описано
Don't forget to run script update
AlexSim
Posts: 12
Joined: Mon Jan 30, 2017 1:31 pm

Re: CloudFlare

Post by AlexSim »

в том то и дело что настроено.
приходящие ipv6 айпишники не относятся к сетке CF

https://www.cloudflare.com/ips-v6

вот навскидку еще несколько какие шли, там всяике AT&T, Verizon, T-mobile..

2600:6c5c:6000:b48:d9b:ea9d:9785:3cca
2607:fb90:284f:603b:555c:c401:e327:8a07
2602:30a:2c39:62f0:1ddb:c06f:c106:4cfd
2601:247:c400:7720:b6f1:daff:fec1:2716
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: CloudFlare

Post by admin »

ок, логгируйте тогда ИП не REMOTE_ADDR а CF-Connecting-IP и X-Forwarded-For
что тогда получается?
Don't forget to run script update
AlexSim
Posts: 12
Joined: Mon Jan 30, 2017 1:31 pm

Re: CloudFlare

Post by AlexSim »

мы уже отрубили просто ipv6 в настройках CF, и сразу стало все нормально,
реальные айпи юзеров, никаких ipv6 в логах и тп
admin
Site Admin
Posts: 37202
Joined: Wed Sep 10, 2008 11:43 am

Re: CloudFlare

Post by admin »

Ok
Don't forget to run script update
Post Reply