Bunny CDN erreur 502 et The World n0c
- Auteur de la discussion david974
- Date de début
Problème de routage concernant Bunny CDN > Paris. 75% de perte de paquet.
Essayez d'entrer votre nom de domaine, choisir Paris et valider :
https://tools.bunny.net/traceroute
Cela doit être la même chose si vous avez le CDN de wp-rocket, qui utilise Bunny CDN.
Essayez d'entrer votre nom de domaine, choisir Paris et valider :
https://tools.bunny.net/traceroute
Cela doit être la même chose si vous avez le CDN de wp-rocket, qui utilise Bunny CDN.
Le problème de ce blocage, c'est que cela risque de se reproduire souvent, et que du coup Bunny CDN n'est pas vraiment supporté par Planet Hoster comme le pourrait être CloudFlare qui a lui ses IP white listées.
Pour que ça fonctionne, il faut passer par Cloudflare puis par Bunny CDN. Ainsi, Bunny CDN demande à Cloudflare, qui demande à PlanetHoster. Comme Cloudflare est bien géré par PlanetHoster, avec une whitelist des IPs, cela fonctionne.
Voici la réponse du support concernant le blocage de Bunny CDN (ticket #QVG-450-21707) :
D'après quelques vérifications , l'IP 185.93.2.251 de bunny est considérée comme malicieuse et c'est bien le pare-feu qui bloque l'IP lorsque celle-ci se trouve dans la liste 'stopforumspam' .
logs
IPSET: Set:bl_STOPFORUMSPAM Match:185.93.2.251 Setting:STOPFORUMSPAM file:/etc/csf/csf.blocklists
Vous pouvez aussi le constater via : https://www.stopforumspam.com/search
Par mesure de sécurité nous ne pouvons pas désactiver cette règle sur un serveur mutualisé.
par contre, il est possible de demander le deblacklistage de cette IP au détenteur de cette liste via :
https://www.stopforumspam.com/removal
Pour que ça fonctionne, il faut passer par Cloudflare puis par Bunny CDN. Ainsi, Bunny CDN demande à Cloudflare, qui demande à PlanetHoster. Comme Cloudflare est bien géré par PlanetHoster, avec une whitelist des IPs, cela fonctionne.
Voici la réponse du support concernant le blocage de Bunny CDN (ticket #QVG-450-21707) :
D'après quelques vérifications , l'IP 185.93.2.251 de bunny est considérée comme malicieuse et c'est bien le pare-feu qui bloque l'IP lorsque celle-ci se trouve dans la liste 'stopforumspam' .
logs
IPSET: Set:bl_STOPFORUMSPAM Match:185.93.2.251 Setting:STOPFORUMSPAM file:/etc/csf/csf.blocklists
Vous pouvez aussi le constater via : https://www.stopforumspam.com/search
Par mesure de sécurité nous ne pouvons pas désactiver cette règle sur un serveur mutualisé.
par contre, il est possible de demander le deblacklistage de cette IP au détenteur de cette liste via :
https://www.stopforumspam.com/removal
Dernière édition:
Bonjour,
Sur N0C, nous avons cette liste ip https://bunnycdn.com/api/system/edgeserverlist autorisé dans nos serveurs en amont.
Nous avons: Cloudflare, Ezoic et BunnyCDN pour le moment.
C'est tres bizzard que "185.93.2.251" est bloqué par STOPFORUMSPAM, avez-vous un moyen de contacter BunnyCDN pour leur demander comment une ip de leur IP s'est trouvé dans un blocklist populaire comme le STOPFORUMSPAM?
La blocklist "STOPFORUMSPAM" est très populaire et utilisé par plusieurs acteurs. Ça l'évite beaucoup de spam.
Sur N0C, nous avons cette liste ip https://bunnycdn.com/api/system/edgeserverlist autorisé dans nos serveurs en amont.
Nous avons: Cloudflare, Ezoic et BunnyCDN pour le moment.
C'est tres bizzard que "185.93.2.251" est bloqué par STOPFORUMSPAM, avez-vous un moyen de contacter BunnyCDN pour leur demander comment une ip de leur IP s'est trouvé dans un blocklist populaire comme le STOPFORUMSPAM?
La blocklist "STOPFORUMSPAM" est très populaire et utilisé par plusieurs acteurs. Ça l'évite beaucoup de spam.
Bonjour,
Merci pour votre intervention : "185.93.2.251" se trouve dans la liste https://bunnycdn.com/api/system/edgeserverlist et donc devrait être whitelisté, même s'il est présent dans la blocklist "STOPFORUMSPAM". C'est logique et justement pour éviter les faux positifs, sinon à quoi servirait une whitelist ?
Le fait que "185.93.2.251" est dans un blocklist de forum n'est pas surprenant : Bunny CDN agit comme un proxy qui va demander l'information depuis par exemple cdn.monsite.com sur un serveur final par exemple www.monsite.com pour le compte d'un visiteur. Si le fichier est déjà en cache, Bunny CDN va fournir la version en cache et ne rien demander au serveur final. Sauf pour une requête en POST.
Il s'agit pour le blocage de deux facteurs d'erreurs :
1. Le responsable du site www.monsite.com sur son compte Bunny CDN le configure avec autorisé les requêtes POST (ce qui devrait être désactivé, les GET sont suffisants dans le cadre d'un CDN),
2. Ce même responsable installe aussi un système anti-spam relié à "STOPFORUMSPAM" qui ne se soucie guère de l'entête X-FORWARDED-FOR qui indique l'IP finale du demandeur de la requête.
Ainsi, lorsque un robot malveillant accède à la version cdn.monsite.com qui fait au final une requête POST sur www.monsite.com, c'est l'IP de Bunny CDN qui est black listée.
J'ai l'espoir que le white liste sera priorisé par dessus le black-list, ou au moins qu'on nous laisse en tant que client le choix dans le WAF via une règle à désactiver. Actuellement, ça n'arrive même pas au serveur, c'est bloqué à un niveau au-dessus.
A bientôt,
David.
Merci pour votre intervention : "185.93.2.251" se trouve dans la liste https://bunnycdn.com/api/system/edgeserverlist et donc devrait être whitelisté, même s'il est présent dans la blocklist "STOPFORUMSPAM". C'est logique et justement pour éviter les faux positifs, sinon à quoi servirait une whitelist ?
Le fait que "185.93.2.251" est dans un blocklist de forum n'est pas surprenant : Bunny CDN agit comme un proxy qui va demander l'information depuis par exemple cdn.monsite.com sur un serveur final par exemple www.monsite.com pour le compte d'un visiteur. Si le fichier est déjà en cache, Bunny CDN va fournir la version en cache et ne rien demander au serveur final. Sauf pour une requête en POST.
Il s'agit pour le blocage de deux facteurs d'erreurs :
1. Le responsable du site www.monsite.com sur son compte Bunny CDN le configure avec autorisé les requêtes POST (ce qui devrait être désactivé, les GET sont suffisants dans le cadre d'un CDN),
2. Ce même responsable installe aussi un système anti-spam relié à "STOPFORUMSPAM" qui ne se soucie guère de l'entête X-FORWARDED-FOR qui indique l'IP finale du demandeur de la requête.
Ainsi, lorsque un robot malveillant accède à la version cdn.monsite.com qui fait au final une requête POST sur www.monsite.com, c'est l'IP de Bunny CDN qui est black listée.
J'ai l'espoir que le white liste sera priorisé par dessus le black-list, ou au moins qu'on nous laisse en tant que client le choix dans le WAF via une règle à désactiver. Actuellement, ça n'arrive même pas au serveur, c'est bloqué à un niveau au-dessus.
A bientôt,
David.