Mengijinkan akses HTTP dan HTTPS yang bersumber dari CloudFlare pada firewalld

By | May 11, 2019
0 Comment

Dapat pertanyaan followup dari mas Hartono soal pembahasan akses HTTP dan HTTPS di VPS tapi dibatasi hanya dari CloudFlare. Fungsinya ya memblokir setiap usaha sambungan koneksi HTTP/S ke salah situs yang dihosting. Jadi tak dapat bypass CloudFlare. Bedanya kalau dulu masih gunakan iptables karenanya kini firewalld yang diaplikasikan CentOS 7.

Aslinya pertanyaan ini menarik bikin saya karena terlupakan bahwa firewall itu tak melulu iptables. ? Padahal banyak VPS saya gunakan CentOS 7. Hehe.

Setelah mempelajari kembali dokumentasinya saya gunakan aturan berikut:

#CloudFlare IPv4
firewall-cmd –permanent –zone=public –add-source=103.21.244.0/22
firewall-cmd –permanent –zone=public –add-source=103.22.200.0/22
firewall-cmd –permanent –zone=public –add-source=103.31.4.0/22
firewall-cmd –permanent –zone=public –add-source=104.16.0.0/12
firewall-cmd –permanent –zone=public –add-source=108.162.192.0/18
firewall-cmd –permanent –zone=public –add-source=131.0.72.0/22
firewall-cmd –permanent –zone=public –add-source=141.101.64.0/18
firewall-cmd –permanent –zone=public –add-source=162.158.0.0/15
firewall-cmd –permanent –zone=public –add-source=172.64.0.0/13
firewall-cmd –permanent –zone=public –add-source=173.245.48.0/20
firewall-cmd –permanent –zone=public –add-source=188.114.96.0/20
firewall-cmd –permanent –zone=public –add-source=190.93.240.0/20
firewall-cmd –permanent –zone=public –add-source=197.234.240.0/22
firewall-cmd –permanent –zone=public –add-source=198.41.128.0/17
firewall-cmd –permanent –zone=public –add-source=199.27.128.0/21

#CloudFlare IPv6
firewall-cmd –permanent –zone=public –add-source=12400:cb00::/32
firewall-cmd –permanent –zone=public –add-source=12405:8100::/32
firewall-cmd –permanent –zone=public –add-source=12405:b500::/32
firewall-cmd –permanent –zone=public –add-source=12606:4700::/32
firewall-cmd –permanent –zone=public –add-source=12803:f800::/32
firewall-cmd –permanent –zone=public –add-source=12c0f:f248::/32
firewall-cmd –permanent –zone=public –add-source=12a06:98c0::/29

Pasang saja yang memang dapat digunakan pada server sahabat. Tak semuanya mendukung IPv6. Dan mungkin ada update domisili IP CloudFlare baru yang dapat dicek disini: https://www.cloudflare.com/ips/

Setelah itu jangan lupa agar dimuat ulang konfigurasinya:

firewall-cmd reload

Catatan, sesungguhnya baris kode diatas memperbolehkan koneksi jenis apapun dari CloudFlare. Kalau mau hanya HTTP/HTTPS seharusnya gunakan rich rule. Dan ada kemungkinan direvisi karena saya sendiri kurang puas akan solusinya. Namun waktu terbatas sewaktu mencari dan mengujinya.


Sumber https://servernesia.com