Cloudflare Ortamında IIS, Nginx ve Apache Orjinal Ziyaretçi IP Log Kayıtlarının Tutulması
  1. Anasayfa
  2. Güvenlik Ürünleri

Cloudflare Ortamında IIS, Nginx ve Apache Orjinal Ziyaretçi IP Log Kayıtlarının Tutulması

0

Cloudflare ortamında IIS, Nginx ve Apache orjinal ziyaretçi IP log kayıtlarının tutulması. Web sitelerimizin trafiğini Cloudflare ağı üzerinden geçirdiğimizde (yani DNS menüsünde DNS Only yerine Proxied yaptığımız turuncu bulutlu siteler için) Cloudflare bu siteye gelen isteklere ters proxy gibi tepki verecektir.

Cloudflare yapısının tüm güvenlik ve optimizasyon özelliklerini kullanmak istediğimizde genellikle DNS Proxied özelliğini açarız. Böyle bir ortamda ziyaretçilere istekler yanıt verilirken ve web sunucularımız (IIS, Apache, Nginx vb) trafiği loglarken ziyaretçinin orjinal IP adresi yerine cloudflare IP adreslerini kullanır.

Cloudflare bulunan yapınızda DNS menüsünde şekil 1’de yer aldığı gibi Proxy mod açık olan bir siteye ping attığınız zaman sunucunun gerçek ip adresi yerine Cloudflare IP adreslerinden bir tanesinin olduğunu görebilirsiniz.

Resim – 1

Kullanıcıların gerçek IP adreslerini LOG’lamak veya çeşitli güvenlik araçlarında süzmek isteyebiliriz. Özellikle WAF cihazlarında veya Cloudflare Analytics’te gelen şüpheli IP adreslerinin orjinal ziyaretçi IP halini görmek bir sistem ve güvenlik yöneticisi için oldukça önemlidir. Böyle bir durumda Cloudflare IP adreslerinin yanı sıra sunucuda orjinal ziyaretçi IP adreslerini de kayıt altına alabilmek için aşağıda yaygın olan web sunuculardan Nginx, Apache ve IIS için sırasıyla işlem adımları verilmiştir.

NGINX için orjinal ziyaretçi IP adreslerinin kayıt altına alınması

Nginx konfigurasyon dosyasına Cloudflare IP bloklarından gelen trafik için orjinal IP adreslerini LOG dosyasına yazacak olan aşağıdaki konfigürasyon eklenir.

# vi /etc/nginx/nginx.conf

Yukarıdaki komut ile nginx konfigürasyon dosyasını VI editörü ile açıyoruz. Ardından http { tag’i içerisinde uygun bir yerde genellikle logların gönderildiği yapılandırma satırının altında aşağıda yer alan IP blokları ve yapılandırma komutları girilir.

#cloudflare gelen orjinal IP leri göstermek için

    set_real_ip_from 103.21.244.0/22;

    set_real_ip_from 103.22.200.0/22;

    set_real_ip_from 103.31.4.0/22;

    set_real_ip_from 104.16.0.0/13;

    set_real_ip_from 104.24.0.0/14;

    set_real_ip_from 108.162.192.0/18;

    set_real_ip_from 131.0.72.0/22;

    set_real_ip_from 141.101.64.0/18;

    set_real_ip_from 162.158.0.0/15;

    set_real_ip_from 172.64.0.0/13;

    set_real_ip_from 173.245.48.0/20;

    set_real_ip_from 188.114.96.0/20;

    set_real_ip_from 190.93.240.0/20;

    set_real_ip_from 197.234.240.0/22;

    set_real_ip_from 198.41.128.0/17;

    set_real_ip_from 2400:cb00::/32;

    set_real_ip_from 2606:4700::/32;

    set_real_ip_from 2803:f800::/32;

    set_real_ip_from 2405:b500::/32;

    set_real_ip_from 2405:8100::/32;

    set_real_ip_from 2a06:98c0::/29;

    set_real_ip_from 2c0f:f248::/32;

 

    real_ip_header CF-Connecting-IP;

ESC’ye basılır ve  :wq komutu girilerek değişikliklerin kaydedilmesi sağlanır. Ardından Nginx servisinin yeniden başlatılması veya yeniden yüklenmesi sağlanır. Ben yeniden yüklenmeyi tercih ediyorum.

# sudo systemctl reload nginx 

Ardından;

# vi /var/log/nginx/access.log komutunu çalıştırdığımızda log dosyasının son satırında orjinal ziyaretçi IP adreslerinin de geldiğini görebiliriz.

APACHE için orjinal ziyaretçi IP adreslerinin kayıt altına alınması

Nginx için yaptığımız işleme benzer bir şekilde Apache’de de orjinal ziyaretçi IP’lerinin kayıt altına alınmasını sağlayabiliriz.

RedHat ve Fedora için:

# sudo yum install httpd-devel libtool git

Debian ve Ubuntu için:

# sudo apt-get install apache2-dev libtool git

paketlerin yüklü olduğundan emin olduktan sonra mod_cloudflare paketinin son sürümü için:

# git clone https://github.com/cloudflare/mod_cloudflare.git; cd mod_cloudflare

.c dosyasını bir modül haline dönüştürmek için apache uzantı aracı ile:

# apxs -a -i -c mod_cloudflare.c

Ardından servis yeniden başlatılır.

RedHat ve Fedora için:

# service httpd restart; httpd -M | grep cloudflare

Debian ve Ubuntu sürümleri için:

# sudo apachectl restart; apache2ctl -M | grep cloudflare

IIS için orjinal ziyaretçi IP adreslerinin kayıt altına alınması

IIS için sunucuda IIS Manager çalıştırdıktan sonra web sitesi seçiliyken Actions menüsünden Logging menüsüne tıklanır. Ardından aşağıdaki resimlerde de yer aldığı gibi Log File grubundan Format W3C iken Select Fields açılır aşağıdaki bölümden Add Field tıklanır ve gelen diyalog penceresinde Field Name alanına CF-Connecting-IP yazılır, Source alanına da açılır kutudan bir şey seçilmeden CF-Connecting-IP  yazılır ve kaydedilir. Ardından ilgili web sitesi IIS servisi yeniden başlatılır. Bu işlemden sonra  inetpub/Logs/LogFiles/ altındaki ilgili log’lar açıldığında satırın en sonunda ziyaretçilerin orjinal IP adreslerinin yer aldığı görülecektir.

Resim-2

Resim-3

Resim-4

Log dosyalarında sonunda _x bulunan log’lar bize orjinal ziyaretçi ip adreslerini verecek olan log’lardır.

Resim-5

Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

https://support.cloudflare.com/hc/en-us/articles/200170786-Restoring-original-visitor-IPs

TAGs: Cloudflare Orijinal Visitor IP Logger

Bu İçeriğe Tepkin Ne Oldu?
  • 0
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 1
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!

Konya Teknik Üniversitesi Bilgisayar Mühendisliği Doktora programında tez dönemi öğrenciliğim devam etmektedir.İş hayatıma Vodafone'da Test Mühendisi olarak başladıktan sonra şuan bir üniversitede Sistem Uzmanı ve Siber Güvenlik Ofis Yöneticisi pozisyonunda çalışmaktayım.Başlıca uzmanlık alanlarım arasında Sistem yöneticiliği ve Siber Güvenlik gelmektedir.Asp.net ile Proje Geliştirme (2015), Bilgisayar Mühendisliğine Giriş (2020), Güvenlik Tasarım Desenleri (2022) kitaplarının yazarıyım.

Yazarın Profili

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir