وایتلیستکردن IPهای CDN
۱. پس از ثبت دامنه و اتصال به سرویس سیدیان برای جلوگیری از بروز اختلال در ارتباط میان سرورهای سیدیان و سرور اصلی میزبان وبسایت، باید IP سرورهای CDN پارسپک را در لیست سفید تنظیمات فایروال سرور اصلی میزبان وبسایت قرار دهید.
۲. وایتلیستکردن به اقداماتی گفته میشود که روی فایروال بهمنظور تعیین آدرسهای IP مجاز برای اتصال به یک پلتفرم انجام میشود.
۳. هنگامیکه نماد ابر را روشن میکنید، سرور میزبان وبسایتتان فقط با سرورهای شبکه توزیع محتوا ارتباط خواهد داشت. دراینصورت دیگر درخواستی برای سرور میزبان ارسالنشده و فقط ارتباط کاربران با سرورهای سیدیان خواهد بود.
۴. اگر آدرسهای آیپی پارسپک را در لیست سفید قرار ندهید و سرور یا هاست شما از فایروال یا ابزارهای امنیتی استفاده کند، ممکن است ترافیک دریافتی را بهعنوان حمله (Attack) تشخیص دهد و آیپیهای CDN را بلاک کند.
۵. دراینصورت سرور اصلی وبسایت شما به درخواستهای ارسالشده از سمت سرورهای CDN هیچ پاسخی نمیدهد و وبسایت شما بارگذاری نمیشود.
۶. برای حل این مشکل باید تمام آدرسهای IP پارسپک را بهعنوان وایتلیست (Whitelist) به سرویس میزبانی وبسایتتان اضافه کنید.
۷. برای اینکار روشهای مختلفی وجود دارد که ازجمله آنها میتوان به Whitelist کردن آدرسهای IP در .htaccess یا Whitelist کردن آدرسهای IP در iptables اشاره کرد.
آموزش وایتلیستکردن آدرسهای IP پارسپک در iptables
۱. همانطور که گفتیم برای جلوگیری از بروز مشکل در ارتباط میان سرورهای سیدیان و سرور اصلی میزبان وبسایت باید آدرسهای IP شبکه توزیع محتوای پارسپک را در لیست سفید فایروال سرویس میزبانی وبسایتتان قرار دهید.
۲. IPTables فایروالی قوی و رایگان در سیستمعامل لینوکس است که شبکههای ایمن و غیرایمن را مشخص و از سیستم دربرابر پکتهای مخرب محافظت میکند.
۳. درادامه شما را با دو روش برای افزودن آدرسهای IP پارسپک به iptables آشنا میکنیم.
۱. تعریف جداگانه برای هر رنج IP
یکی از راهکارهای وایتلیستکردن IPهای شبکه توزیع محتوای پارسپک، تعریف جداگانه برای هر رنج IP است.
دراینصورت میتوانید از خط کد زیر بهازای هر بازه آدرس لیست آدرسهای آیپی وایتلیست پارسپک استفاده کنید.
iptables -I INPUT -p tcp -m multiport --dports http,https -s "$ip" -j ACCEPT
برای این منظور در خط کد زیر بهجای عبارت «ip-» یکی از آیپیهای وایتلیست پارسپک را مانند نمونه زیر قرار دهید.
iptables -I INPUT -p tcp -m multiport --dports http,https -s "185.8.173.0/28" -j ACCEPT
۲. تعریف برای تمامی رنجها با ipset
۱. روش دوم وایتلیستکردن آیپی های پارسپک کار را برای شما آسانتر میکند و بهجای تعریف تکتک آدرسهای IP برای قرارگرفتن در Whitelist، با استفاده از دستور ipset میتوانید تمام IPهای پارسپک را در لیست سفید سرور میزبان وبسایتتان قرار دهید.
۲. با استفاده از این دستور میتوانید لیستی از آدرسهای IP مجاز مانند آیپیهای پارسپک را مشخص کنید.
۳. درصورت دسترسی به سرور میتوانید بهصورت مستقیم IPهای مجاز پارسپک را در لیست سفید فایروال سرور خود قرار دهید.
۴. اگر ابزار ipset را روی سرورتان نصب ندارید، با استفاده از دستورهای زیر آن را میتوانید روی سرور میزبان وبسایت خود نصب کنید.
- نصب ipset روی سرور اوبونتو (Ubuntu)
# sudo apt-get install ipset
- نصب ipset روی سرور سنتاواس (CentOS)
# yum install ipset
۵. پس از اینکار میتوانید با استفاده از دستور ipset لیستی از آدرسهای IP مجاز پارسپک را مانند قطعه کد زیر مشخص کنید.
# ipset create parspack-cdn hash:net
# for x in $(curl https://parspack.com/cdnips.txt); do ipset add parspack-cdn $x; done
۶. در این دستور بهجای عبارت parspack-cdn میتوانید نام دلخواهتان را قرار دهید.
۷. شایان ذکر است که با اجرای این دستور، لیست آیپیهای مجاز پارسپک با ipset در حافظه ذخیره میشود اما بهطور پیشفرض پس از Reboot سیستم این لیست از بین میرود.
۸. بنابراین، این دستور را ذخیره و پس از Reboot سیستم دوباره آن را اجرا کنید.
۹. درنهایت، پس از ایجاد لیست آدرسهای مجاز با استفاده از ابزار ipset میتوانید لیست ایجادشده را در دستور iptables استفاده کنید.
۱۰. برای این منظور کد زیر را اجرا کنید.
# iptables -A INPUT -m set --match-set parspack-cdn src -p tcp -m multiport --dports http,https -j ACCEPT
۱۱. برای ذخیره قوانین تعریف شده iptables از دستور زیر استفاده کنید.
- ذخیره تنظیمات فایروال در اوبونتو
iptables-save > /etc/iptables/rules.v4
- ذخیره تنظیمات فایروال در سنتاواس
iptables-save > /etc/sysconfig/iptables
آموزش وایتلیستکردن آدرسهای IP پارسپک در htaccess
۱. وایتلیستکردن آیپیهای پارسپک در htaccess بسیار ساده است.
۲. برای اینکار فقط باید آدرسهای آیپی پارسپک را مانند کد زیر با استفاده از دستور Allow به فایل htaccess اضافه کنید.
allow from 185.8.173.0/28
تمامی IPهای موجود در لیست زیر باید بهصورت نمونه بالا در فایل htaccess قرار بگیرد.