Advertência sobre a exposição do seu endereço IP de origem por meio de registros DNS

Se você tiver registros DNS com nuvens cinza, a Cloudflare poderá adverti-lo de que seus registros DNS podem revelar o endereço IP do seu servidor de origem. Isso acontece com maior frequência com os registros A, AAAA, CNAME e DNS MX.


Visão geral

Quando seus registros DNS estiverem com nuvens laranja, a Cloudflare estará acelerando e protegendo o seu site.

Uma consulta dig do seu domínio raiz com nuvem laranja retorna um endereço IP da Cloudflare. Assim, o endereço IP do seu servidor de origem permanece oculto para o público. Lembre-se de que as vantagens da nuvem laranja só se aplicam ao tráfego de HTTP.

Em determinadas circunstâncias, a guia registros DNS no painel do aplicativo de DNS da Cloudflare exibirá uma advertência sempre que você tiver registros DNS com nuvens cinza que possam expor o endereço IP do seu servidor de origem. Essa advertência não bloqueia nem afeta de forma alguma o tráfego destinado ao seu site .

Se o endereço IP do seu servidor for exposto, o servidor fica mais vulnerável a ataques diretos.  Ainda  é possível (porém, mais difícil) que invasores determinem o endereço IP do seu servidor de origem ao fazer o proxy do tráfego para a Cloudflare.

Abaixo estão dois casos nos quais você poderá ver uma advertência da Cloudflare relativa à exposição do IP.


Caso 1 — registros DNS que deveriam estar com nuvem laranja

Se você vir a seguinte advertência:

Este registro está expondo o endereço IP do seu servidor de origem. Para ocultar o endereço IP de origem e aumentar a segurança do servidor, clique na nuvem cinza para alterá-la para laranja.

A Cloudflare recomenda que o registro esteja com nuvem laranja para que qualquer consulta dig desse registro retorne um endereço IP da Cloudflare e o seu endereço IP do servidor de origem permaneça oculto para o público.

Para que você possa aproveitar as vantagens de desempenho e segurança da Cloudflare, recomendamos que coloque nuvens laranja nos seus registros DNS que lidam com o tráfego de HTTP, incluindo os registros A, AAAA e CNAME. No entanto, não coloque nuvem laranja em registros A, AAAA ou CNAME usados para resolver registros MX.  Por exemplo, se você tiver um registro MX que aponta para mail.exemplo.com como seu servidor de e-mails, colocar nuvem laranja no registro A para mail.exemplo.com interromperá seu tráfego de e-mails.


Caso 2 — registros DNS que precisam ser marcados com nuvens cinza

Quando você tem registros A, AAAA, CNAME ou MX com nuvens cinza apontando para o mesmo servidor de origem que hospeda o seu site, a Cloudflare exibe uma das seguintes advertências:

Um registro A, AAAA, CNAME ou MX está apontando para o seu servidor de origem e expondo o seu IP de origem.

Esse registro está expondo o endereço IP do seu servidor de origem e, possivelmente, o expondo à negação de serviço.

Os registros DNS com caracteres curinga " *" só podem fazer proxy para a Cloudflare nos domínios do Enterprise plan. Para todos os demais planos, um registro DNS com caracteres curinga revela o IP de origem.

Uma consulta dig desses registros revela o endereço IP do seu servidor de origem. Essa informação torna mais fácil para os invasores em potencial atacarem diretamente o seu servidor de origem.

No entanto, existem ocasiões nas quais alguns de seus registros DNS precisam manter uma nuvem cinza. Por exemplo:

  • A nuvem laranja não deve ser colocada em registros A, AAAA ou CNAME usados para tráfego de e-mails, porque o roteamento de e-mails não passará pelo proxy da Cloudflare.
  • Quando você precisa hospedar vários serviços (por exemplo, um site e e-mails) no mesmo servidor físico

Para mitigar esse risco, recomendamos que você:

  • Hospede o seu serviço de e-mails em um servidor (interno ou externo) diferente do servidor de origem do seu site
  • Analise o impacto da hospedagem de vários serviços no mesmo servidor de origem nos casos em que registros DNS com nuvens cinza não puderem ser evitados
  • Coloque nuvens laranja em todos os registros que compartilham com seu domínio raiz o mesmo endereço IP de origem e podem fazer proxy com segurança por meio da Cloudflare
Não encontra o que precisa?

95% das perguntas podem ser respondidas usando a ferramenta de pesquisa. Essa é a maneira mais rápida de obter uma resposta.