Sim, isso funcionaria. Você também pode usar ! negar assim:
iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 80 -j DROP
iptables -I INPUT ! -s <cloud_flare ip> -p tcp --dport 443 -j DROP
Gostaria de permitir apenas o tráfego HTTP (S) proveniente do CloudFlare. Dessa forma, os invasores não podem atacar o servidor diretamente. Eu sei que o CloudFlare não é principalmente um mitigator DDoS, mas eu gostaria de tentar de qualquer forma.
Atualmente, estou tendo apenas acesso ao iptables (apenas para o ipv4), mas tentarei instalar o ip6tables em breve. Eu só preciso corrigir isso em breve. (estamos recebendo (D) DoSed atm.)
Eu estava pensando em algo assim:
iptables -I INPUT -s <CloudFlare IP> --dport 80 -j ACCEPT
iptables -I INPUT -s <CloudFlare IP> --dport 443 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP
Eu sei que CloudFlare tem vários IPs, mas apenas para um exemplo.
Este seria o caminho certo?
Tags iptables http ddos cloudflare block