Bunny CDN erreur 502 et The World n0c

david974

New Member
#1
Bonjour,

J'ai remarqué aujourd'hui, après un vidage du cache bunny CDN, que celui-ci a de gros problèmes pour communiquer avec mon hébergement The world n0c, avec dans 50% des cas, une erreur 502 Bad gateway de Bunny CDN.

Tout fonctionnait très bien avant.

Avez-vous le même problème ?

David.
 

david974

New Member
#2
Problème de routage concernant Bunny CDN > Paris. 75% de perte de paquet.

Essayez d'entrer votre nom de domaine, choisir Paris et valider :
https://tools.bunny.net/traceroute

Cela doit être la même chose si vous avez le CDN de wp-rocket, qui utilise Bunny CDN.
traceroute2024-09-09_10-02-33.png
 

PH-CTO

Administrator
Membre du personnel
#3
Bonjour,

BunnyCDN est supporté sur The World (plateforme n0c).

Il se peut qu'ils aient un souci temporaire externe à PH.

Le packet loss est normal sur un router. Les paquets ICMP ne sont pas priorisés sur les routers.

De notre côté, nous n'avons rien à signaler.
 

david974

New Member
#4
Bonjour,

BunnyCDN est supporté sur The World (plateforme n0c).

Il se peut qu'ils aient un souci temporaire externe à PH.

Le packet loss est normal sur un router. Les paquets ICMP ne sont pas priorisés sur les routers.

De notre côté, nous n'avons rien à signaler.
Le problème de ce blocage, c'est que cela risque de se reproduire souvent, et que du coup Bunny CDN n'est pas vraiment supporté par Planet Hoster comme le pourrait être CloudFlare qui a lui ses IP white listées.

Pour que ça fonctionne, il faut passer par Cloudflare puis par Bunny CDN. Ainsi, Bunny CDN demande à Cloudflare, qui demande à PlanetHoster. Comme Cloudflare est bien géré par PlanetHoster, avec une whitelist des IPs, cela fonctionne.

Voici la réponse du support concernant le blocage de Bunny CDN (ticket #QVG-450-21707) :

D'après quelques vérifications , l'IP 185.93.2.251 de bunny est considérée comme malicieuse et c'est bien le pare-feu qui bloque l'IP lorsque celle-ci se trouve dans la liste 'stopforumspam' .

logs

IPSET: Set:bl_STOPFORUMSPAM Match:185.93.2.251 Setting:STOPFORUMSPAM file:/etc/csf/csf.blocklists

Vous pouvez aussi le constater via : https://www.stopforumspam.com/search

Par mesure de sécurité nous ne pouvons pas désactiver cette règle sur un serveur mutualisé.

par contre, il est possible de demander le deblacklistage de cette IP au détenteur de cette liste via :

https://www.stopforumspam.com/removal
 
Dernière édition:

PH-CTO

Administrator
Membre du personnel
#5
Bonjour,

Sur N0C, nous avons cette liste ip https://bunnycdn.com/api/system/edgeserverlist autorisé dans nos serveurs en amont.

Nous avons: Cloudflare, Ezoic et BunnyCDN pour le moment.

C'est tres bizzard que "185.93.2.251" est bloqué par STOPFORUMSPAM, avez-vous un moyen de contacter BunnyCDN pour leur demander comment une ip de leur IP s'est trouvé dans un blocklist populaire comme le STOPFORUMSPAM?

La blocklist "STOPFORUMSPAM" est très populaire et utilisé par plusieurs acteurs. Ça l'évite beaucoup de spam.
 

david974

New Member
#6
Bonjour,

Sur N0C, nous avons cette liste ip https://bunnycdn.com/api/system/edgeserverlist autorisé dans nos serveurs en amont.

Nous avons: Cloudflare, Ezoic et BunnyCDN pour le moment.

C'est tres bizzard que "185.93.2.251" est bloqué par STOPFORUMSPAM, avez-vous un moyen de contacter BunnyCDN pour leur demander comment une ip de leur IP s'est trouvé dans un blocklist populaire comme le STOPFORUMSPAM?

La blocklist "STOPFORUMSPAM" est très populaire et utilisé par plusieurs acteurs. Ça l'évite beaucoup de spam.
Bonjour,

Merci pour votre intervention : "185.93.2.251" se trouve dans la liste https://bunnycdn.com/api/system/edgeserverlist et donc devrait être whitelisté, même s'il est présent dans la blocklist "STOPFORUMSPAM". C'est logique et justement pour éviter les faux positifs, sinon à quoi servirait une whitelist ?

Le fait que "185.93.2.251" est dans un blocklist de forum n'est pas surprenant : Bunny CDN agit comme un proxy qui va demander l'information depuis par exemple cdn.monsite.com sur un serveur final par exemple www.monsite.com pour le compte d'un visiteur. Si le fichier est déjà en cache, Bunny CDN va fournir la version en cache et ne rien demander au serveur final. Sauf pour une requête en POST.

Il s'agit pour le blocage de deux facteurs d'erreurs :
1. Le responsable du site www.monsite.com sur son compte Bunny CDN le configure avec autorisé les requêtes POST (ce qui devrait être désactivé, les GET sont suffisants dans le cadre d'un CDN),
2. Ce même responsable installe aussi un système anti-spam relié à "STOPFORUMSPAM" qui ne se soucie guère de l'entête X-FORWARDED-FOR qui indique l'IP finale du demandeur de la requête.

Ainsi, lorsque un robot malveillant accède à la version cdn.monsite.com qui fait au final une requête POST sur www.monsite.com, c'est l'IP de Bunny CDN qui est black listée.

J'ai l'espoir que le white liste sera priorisé par dessus le black-list, ou au moins qu'on nous laisse en tant que client le choix dans le WAF via une règle à désactiver. Actuellement, ça n'arrive même pas au serveur, c'est bloqué à un niveau au-dessus.

A bientôt,
David.
 
Haut