¿Cómo puedo incluir las direcciones IP de Cloudflare en la lista blanca de iptables?

Los rangos IP de Cloudflare se pueden añadir a iptables conforme a los siguientes pasos. Esto se debe hacer para garantizar que no se perderá ninguna de las conexiones que, de otro modo, podría ocasionar tiempos de espera y otros problemas de conectividad.

IPv4: En el caso de cada uno de los rangos mostrados aquí: https://www.cloudflare.com/ips-v4, deberá introducir el siguiente comando en la terminal y reemplazar $ip por una de las IP de la lista:
iptables -I INPUT -p tcp -m multiport --dports http,https -s "$ip" -j ACCEPT

IPv6: En el caso de cada uno de los rangos mostrados aquí: https://www.cloudflare.com/ips-v6, deberá introducir el siguiente comando en la terminal y reemplazar $ip por una de las IP de la lista:
ip6tables -I INPUT -p tcp -m multiport --dports http,https -s "$ip" -j ACCEPT

Una posible alternativa a tener una lista de reglas de iptables para cada rango de red sería utilizar una herramienta denominada ipset. Si no la tiene instalada en su servidor de origen, puede hacerlo por medio del administrador de paquetes.

Debian: sudo apt-get install ipset

Crear un conjunto ipset:
ipset create cf hash:net

Ahora, complete el conjunto con los rangos de IP de Cloudflare:
for x in $(curl https://www.cloudflare.com/ips-v4); do ipset add cf $x; done

Nota: el ipset creado se almacena en la memoria y desaparece después del reinicio de forma predeterminada. Recuerde guardarlo o restaurarlo después de reiniciar.

Puede usar el conjunto «cf» en una regla de iptables como:
iptables -A INPUT -m set --match-set cf src -p tcp -m multiport --dports http,https -j ACCEPT

Una vez que ejecute los comandos de iptables, deberá guardar las reglas de iptables. Los dos comandos de arriba se utilizan para IPv4 y los dos de abajo para IPv6.

Debian/Ubuntu: iptables-save > /etc/iptables/rules.v4
RHEL/CentOS: iptables-save > /etc/sysconfig/iptables
Debian/Ubuntu: ip6tables-save > /etc/iptables/rules.v6
RHEL/CentOS: ip6tables-save > /etc/sysconfig/ip6tables

Nota: Estas reglas solo se aplican a sus iptables y no funcionan en ningúna firewall adicional.

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk