דילוג לתוכן הראשי
d.frishchin:~$
חזרה לבלוג →
infra2026.06.187 דק׳ קריאה

למה סגרתי כל פורט ציבורי לטובת מנהרות Cloudflare

הפורט הבטוח ביותר הוא זה שלא קיים. אחרי שנים של תחזוקת reverse proxies וחידוש תעודות ידני, העברתי כל שירות מאחורי מנהרות Cloudflare — וסגרתי את כל כללי ה-firewall הנכנסים לתמיד.

מנהרה יוצרת חיבור יוצא-בלבד מהמקור אל הקצה. אין מה לסרוק, אין מה לחשוף, ואין תעודה לשכוח. מדיניות גישה חוסמת כל נתיב לפי זהות עוד לפני שבקשה מגיעה לשרת.

config.yml
tunnel: prod-edge
credentials-file: /etc/cf/prod.json
ingress:
  - hostname: grafana.internal.dev
    service: http://localhost:3000
  - hostname: api.internal.dev
    service: http://localhost:8080
  - service: http_status:404

המקורות מאזינים רק ל-localhost. כל בקשה מאומתת בקצה, נרשמת וזורמת ל-Loki לביקורת. מה שהיה תריסר משטחי תקיפה הוא כעת חיבור יוצא אחד.

#cloudflare#zero-trust#networking