Нормально ли, что ip сайта торчит наружу?

Question

[Narts]

Привет! Есть сервер на ubuntu, на котором установлен докер и подняты контейнеры с различными веб-приложениями. Есть домен, который проксируется через cloudflare и связывается с докер-контейнерами через traefik.

И заметил, что если вбить ip сервера в браузере, то загрузится 404 ошибка traefik-а, что логично, тк никакой контейнер не привязан к такому хосту. Но с другой стороны, если открывается страница 404, значит есть доступ по айпи, а не только по доменам, значит в теории могут заддосить по ip. Но еще с одной стороны, по логике, этот ip нигде светиться не будет, и появилась мысль что у абсолютно всех сайтов так - если выявить его ip, то можно открывать не по домену, а по его ip, так ли это?

Нормально ли, что ip сайта торчит наружу?

Comments

[Refguser]

Он не может не торчать. Другое дело что сервер должен делать с запросами.

Answer 1

[Drno]

Да, нормально. Иначе как пользователь попадет на Ваш сайт?) если вся сеть работает по IP...
Для того что бы по IP не заходили, в вебсервере можно указать только нужные домены. Тогда всё остальное будет посылаться на стр 404

Answer 2

[Владимир Дубровин]

Желательно отфильтровать весь трафик к защищаемому хосту сделав исключение для cloudflare, особенно если высока вероятность DDoS атак. Это есть в рекомендациях Cloudflare. Если этого не сделать, то действительно высока вероятность что IP адрес можно будет обнаружить и атаковать в обход Cloudflare. Например shodan или аналогичные сканеры могут идентифицировать хост по SSL-сертификату или ответу по дефолтному хостнейму, или на сайте может быть функциональность которая делает запрос с сайта наружу (наприме загрузка картинки по URL) с его реального IP в обход Cloudflare.

Answer 3

[pantsarny]

Не нормально, если вас интересует трафик только через CF
Найдите на сайте CF список их айпи адресов и настройте файрволл на работу только с этими адресами

Answer 4

[Zzzz9]

Нормально ли, что ip сайта торчит наружу?

Набери в обозревателе интернета 142.250.74.78, научи их жить.

Comments

[Narts]

это гугл, вряд ли они там пользуются всякими cloudflar-ами для защиты от ддос

[Zzzz9]

В Интернет все пользуются ip адресами, имена сайтов придумали для удобства, если не будет доступен ip адрес, то и по имени никто сайт не найдет.

[Narts]

Zzzz9, ip адрес может быть доступен только вайтлисту, что логично - даем доступ только cloudflare айпишникам, а он уже модерирует трафик
и в таком случае мне не понятно, ок ли это, что при открытии по ip открывается 404 страница traefik-а

[Zzzz9]

В любом случае, все приходят по ip адресу, а фильтровать кому куда, на 404 или куда подальше, решает фильтр и кто его настроил.

[Saboteur]

ip адрес может быть доступен только вайтлисту, что логично - даем доступ только cloudflare айпишникам, а он уже модерирует трафик
и в таком случае мне не понятно, ок ли это, что при открытии по ip открывается 404 страница traefik-а

Значит веб сайт будет доступен только вайтлисту.

Реально глупый вопрос, от непонимания принципиально базовых вещей.
IP адрес ОБЯЗАН торчать наружу, чтобы можно было подключиться к серверу.
Все браузеры ходят по айпишникам, а доменное имя прокидывают уже в заголовках HTTP
многие другие сервисы вообще доменное имя не прокидывают, используют исключительно IP адреса