Protection - DNS et IP cibles (en amont)

Cet article traite des paramètres DNS et de l'adresse IP cible spécifiquement pour le système de protection WEDOS. Pour savoir comment configurer le DNS de WEDOS, suivez les guides Domaines - Serveurs DNS (NSSET) &box; et DNS - Enregistrements de domaine &box ;.

Dans cet article, vous apprendrez :

Protection WEDOS et DNS

Si votre domaine n'utilise pas la protection WEDOS ou un système similaire, le DNS fonctionne selon le tableau suivant :

Requête DNS commune : la requête du client est transmise directement au serveur web via le serveur DNS.

La fonction de base d'un serveur DNS est de traduire des informations compréhensibles par l'homme (noms de domaine) en informations compréhensibles par l'ordinateur (principalement des adresses IP). Pour une telle requête, il importe peu que la question soit posée par un utilisateur réel, un attaquant ou un robot - les données du serveur DNS sont accessibles à tous.

La fonction de base des serveurs mandataires WEDOS Protection (WGP) est de prendre la place du serveur web du point de vue du DNS, d'évaluer la demande du client et, seulement après avoir décidé de la légitimité d'une telle demande, de contacter le serveur web et de récupérer le contenu.

Une requête DNS avec un proxy WGP représentant le serveur web
Une requête DNS avec un proxy WGP représentant le serveur web

Du point de vue du serveur DNS, un proxy remplace le serveur web. Le serveur DNS ne s'intéresse plus à ce qui se trouve derrière, et le serveur proxy prend donc en charge le reste de la communication.

  • Le serveur DNS contient les adresses IP du serveur proxy. Si nous voulons que le système de protection WEDOS protège le serveur web contre le trafic indésirable, nous indiquons au serveur DNS l'adresse du proxy et aucune autre.
  • Le serveur proxy contient les adresses IP cibles du serveur web. Le serveur proxy doit savoir où obtenir les données du site web. Il contient un tableau d'adresses IP cibles du serveur web, qu'il utilise pour la suite de la communication.

Enregistrements de domaine DNS

Pour que la protection WEDOS fonctionne au mieux, nous recommandons d'utiliser les serveurs DNS WEDOS (NSSET) &boxbox ;. Si vous souhaitez utiliser les serveurs DNS d'un autre fournisseur, lisez également l'article Protection - Fournisseur DNS tiers.

Pour que la protection fonctionne correctement, dirigez le domaine exclusivement vers le serveur proxy. Vous pouvez trouver les adresses des serveurs proxy en suivant les étapes suivantes :

  1. Connectez-vous au panneau d'administration WEDOS Global &boxbox ;.
  2. Sur la page d'accueil, sélectionnez le domaine pour lequel vous souhaitez trouver les adresses des serveurs proxy.
  3. Les adresses IPv4 et IPv6 se trouvent dans la section Adresses IP de votre proxy.
Exemple d'adresses IP du serveur proxy dans l'administration globale de WEDOS
Exemple d'adresses IP du serveur proxy dans l'administration globale de WEDOS

Saisissez ces adresses dans les enregistrements DNS du domaine conformément aux instructions de votre fournisseur d'accès en utilisant le modèle suivant :

Nom TTL Type Données
 300 A (serveur proxy 1 adresse IPv4)
* 300 A (serveur proxy 1 adresse IPv4)
 300 A (serveur proxy 2 adresse IPv4)
* 300 A (serveur proxy 2 adresse IPv4) 300 AAAA (serveur proxy 1 adresse IPv6) * 300 AAAA (serveur proxy 1 adresse IPv6) 300 AAAA (serveur proxy 2 adresse IPv6)  adresse IPv4)
 300 AAAA (adresse IPv6 du serveur mandataire 1)
* 300 AAAA (adresse IPv6 du serveur mandataire 1)
 300 AAAA (adresse IPv6 du serveur mandataire 2)
* 300 AAAA (adresse IPv6 du serveur mandataire 2)

Supprimez les autres enregistrements DNS de type A et AAAA sans nom ou avec le nom *, car ils dirigent probablement vers le serveur web et contournent le proxy de protection. Nous recommandons de supprimer également tous les enregistrements du sous-domaine www. Laissez les entrées d'autres noms ou types inchangées.

Modifier les enregistrements DNS du domaine WEDOS
Domaine WEDOS direct au service
Exemple d'enregistrements DNS de type A et AAAA dirigés vers le proxy global de WEDOS, les autres enregistrements (MX) restant inchangés.
Exemple d'enregistrements DNS de type A et AAAA dirigés vers le proxy global de WEDOS, les autres enregistrements (MX) restant inchangés.

Cibler les adresses IP

Le serveur proxy de WEDOS Protection utilise des IP cibles pour accéder au serveur web. La configuration initiale se fait généralement automatiquement. Si vous devez la vérifier ou la modifier, procédez comme suit :

  1. Connectez-vous au panneau d'administration WEDOS Global &boxbox ;.
  2. Sur la page d'accueil, sélectionnez le domaine pour lequel vous souhaitez examiner les adresses IP cibles.
  3. Dans le menu de gauche, cliquez sur Target IPs pour le domaine principal, ou sur Subdomains pour un sous-domaine.
Accès à l'interface WEDOS Protection Target IPs
Accès à l'interface WEDOS Protection Target IPs

Dans cette interface, vous pouvez cliquer sur :

  • le bouton Add IP dans l'en-tête de la liste pour ajouter une nouvelle adresse de serveur web ;
  • l'icône crayon à droite pour modifier l'adresse IP ou son paramètre de poids ;
  • l'icône de la corbeille à droite pour supprimer l'adresse IP.

Tant que les sous-domaines fonctionnent sur le même serveur que le domaine correspondant, il n'est pas nécessaire d'entrer leurs adresses IP cibles séparément.

Pour fonctionner correctement, le serveur proxy a besoin d'au moins une adresse IP dirigée vers le serveur web du domaine.

Dépannage des problèmes courants

Les problèmes courants liés à la configuration des IP DNS/destination dans WEDOS Global sont les suivants :

DNS cassé

Problème : Après avoir défini des enregistrements globaux dans WEDOS DNS et supprimé tous les autres, les courriers électroniques ont cessé de fonctionner, ou d'autres fonctionnalités DNS ont été perturbées.

Cause : Bien que le système Global répertorie tous les enregistrements trouvés pour un domaine au cours d'un balayage DNS, il ne peut en fait utiliser que les adresses IP répertoriées dans les enregistrements de type A et AAAA qui n'ont pas de nom (utilisés pour le domaine principal) ou le nom * (tous les sous-domaines non spécifiés).

Solution : Vérifiez l'historique des modifications DNS &boxbox ; pour les enregistrements supprimés qui n'utilisent pas Global. Il s'agit notamment des enregistrements suivants

  • Enregistrements de types autres que A et AAAA (notamment MX, CNAME, TXT).
  • Les enregistrements de type A et AAAA dont le nom est différent de *.

Rétablissez ces enregistrements en les ajoutant au DNS &boxbox ;.

IP du serveur Web inconnue

Problème: Je ne connais pas l'adresse IP du serveur web et je ne sais donc pas si elle est correctement définie dans Global.

Solution: Si vous hébergez votre site web chez nous, vous pouvez connaître son adresse IP en suivant les instructions de configuration des enregistrements de type A &boxbox ;, où vous l'utilisez également. Pour un autre fournisseur, suivez ses instructions ou contactez son service d'assistance.

Enregistrement des adresses IP des clients

Problème : Nous devons enregistrer les adresses IP des clients qui accèdent à notre serveur web, mais le système enregistre les adresses IP du serveur WEDOS Global à la place.

Cause : Nous transmettons les adresses IP réelles des clients, mais votre serveur web ne les traite probablement pas correctement.

Solution : Utilisez ce lien &boxbox ; (.json, cliquez ici &boxbox ; pour .txt) pour trouver les plages de monodiffusion que WEDOS Global utilise pour communiquer avec les serveurs web cibles. La liste est mise à jour quotidiennement.

  • Si vous utilisez NGINX sur le serveur cible, définir l'option set_real_ip_from avec les fourchettes ci-dessus. Pour plus d'informations, consultez NGINX docs &boxbox ;.
  • Pour ApachePour ce faire, il faut d'abord s'assurer que l'on est bien en présence d'un mod_remoteip est active (pour plus d'informations, voir Apache docs &boxbox ;). Configurez ensuite les adresses IP ci-dessus :
RemoteIPHeader X-Forwarded-For
RemoteIPTrustedProxy # ajouter l'IP ou la plage du fichier
  • Pour LiteSpeed (y compris OpenLiteSpeed), allez sur WebAdmin Configuration Server General. Ensuite, réglez l'option Use Client IP in Header sur Trusted IP Only ( Utiliser l'IP du client dans l'en-tête ). Ajoutez les IP et les plages du fichier ci-dessus dans la liste des IP de confiance. Pour plus d'informations, voir LiteSpeed Wiki &boxbox ; ou OpenLiteSpeed docs &boxbox ;.

Votre serveur devrait maintenant pouvoir fonctionner avec de vraies IP.

FAQ

Lorsque j'ai installé le plugin WordPress WGP, je n'ai obtenu que quatre adresses IPv4 et aucune IPv6. Est-ce exact ?

Le plugin ne contient que des paramètres minimaux. Le service est entièrement fonctionnel avec les adresses IPv4, mais si vous pouvez également configurer IPv6, faites-le. Vous pouvez trouver leurs valeurs en suivant les instructions du chapitre Enregistrements de domaine DNS, même pour les domaines ajoutés via le plugin.

Cela a-t-il été utile ?

Merci pour vos commentaires !
Sélecteurs génériques
Correspondance exacte uniquement
Recherche dans le titre
Recherche dans le contenu
Sélecteurs de type de message
Article TOC
Parcourir les catégories