Incompatibilité Cloudflare + Planet Hoster

[Alexth]

Bonjour,

Je suis hébergeur de plusieurs sites internet incluant des espaces membres sur wordpress.

Je suis très embêté par les pare-feu planet hoster ( greensnow.co ) qui ne sont pas configuré correctement.

En effet avant migration de certains de mes sites j'avais bien demandé si cloudflare était compatible sur planet hoster mais malheureusement ce n'est pas le cas.

Les règles par feu greensnow bannissent les ip cloudflares au lieu de bannir l'ip d'un client.

Même le trafic légitime est bloqué :



Il suffit que plusieurs clients se connectent en même temps sur un des sites du world pour se faire bloquer l'intégralité de ces clients.

En effet, le pare feu étant mal configuré l'ip de cloudflare est banni au lieu de l'ip de l'utilisateur/attaquant.

Le soucis est qu'une ip cloudflare amene plusieurs utilisateurs donc l'intégralité des utilisateurs légitime du world sont banni.



Cette situation m'amène à ce post aujourd'hui pour demander la bonne configuration des pare-feu.

Le Bannissement de l'adresse d'un client avec le header CF-Connecting-IP et non X-Forwarded-For pour les ip cloudflares.

Sans résolution de ce souci je vais devoir soit mettre en danger la sécurité de mon site en désactivant clouflare, soit changer d'hébergeur.

Si vous rencontré le même souci n'hésitez pas à voter au sondage ce qui fera peu être réagir planet hoster.

Cordialement

 

[PH-Marc-André.B.]

Bonjour,

Il nous fera plaisir de retirer ces blocages là simplement nous contacter par ticket depuis la section mon support de votre espace client.

 

[Alexth]

Bonjour,

Je vous ai déjà contacté pour le même souci votre réponse a été de me basculer sur une offre à 50€ par mois ce qui n'est pas envisageable.

Cordialement

 

[PH-Marc-André.B.]

Bonjour,

Sur quel site est-ce que CloudFlare a bloqué? on pourra retirer les blocages au besoin

 

[Alexth]

Bonjour,

L'intégralité des sites présents sur mon world, vu qu'ils utilisent tous un espace membre.

 

[PH-Marc-André.B.]

Bonjour,

N'hésitez-pas à nous créer un ticket à ce moment là via la section mon support de votre espace client on pourra vérifier le tout plus amplement.

 

[Alexth]

Le ticket est le suivant : RUW-115-54349

 

[Ismerie56]

Bonjour,

Je suis hébergeur de plusieurs sites internet incluant des espaces membres sur wordpress.

Je suis très embêté par les pare-feu planet hoster ( greensnow.co ) qui ne sont pas configuré correctement.

En effet avant migration de certains de mes sites j'avais bien demandé si cloudflare était compatible sur planet hoster mais malheureusement ce n'est pas le cas.

Les règles par feu greensnow bannissent les ip cloudflares au lieu de bannir l'ip d'un client.

Même le trafic légitime est bloqué :

Voir la pièce jointe 715
Rachat de crédit meilleur taux Il suffit que plusieurs clients se connectent en même temps sur un des sites du world pour se faire bloquer l'intégralité de ces clients.

En effet, le pare feu étant mal configuré l'ip de cloudflare est banni au lieu de l'ip de l'utilisateur/attaquant.

Le soucis est qu'une ip cloudflare amene plusieurs utilisateurs donc l'intégralité des utilisateurs légitime du world sont banni.

Voir la pièce jointe 716

Cette situation m'amène à ce post aujourd'hui pour demander la bonne configuration des pare-feu.

Le Bannissement de l'adresse d'un client avec le header CF-Connecting-IP et non X-Forwarded-For pour les ip cloudflares.

Sans résolution de ce souci je vais devoir soit mettre en danger la sécurité de mon site en désactivant clouflare, soit changer d'hébergeur.

Si vous rencontré le même souci n'hésitez pas à voter au sondage ce qui fera peu être réagir planet hoster.

Cordialement

Bonjour
En quoi consiste exactement le principe du Bannissement de l'adresse d'un client avec le header CF-Connecting-IP et non X-Forwarded-For pour les ip cloudflares?
Je n'ai pas bien compris
Merci

 

[SHP]

Alexth bonjour
Votre expérience avec le Cloudflare nous intéresse beaucoup, étant chargés de sites pour une OBNL sans trop de ressources financières.
Nous sommes hébergé sur un compte mutualisé World et nous sommes à recherche d'une solution CDN CloudFlare un peu similaire à la vôtre.
Au plaisir de vous lire
Webmestres de la SHP au Québec

 

[PH-Saber]

Bonjour,

Cloudflare est bien supporté sur l'ensemble des infrastructures. Le WAF en place permet à la fois d'assuré une protection aux hébergés et un meilleur support des différents CDN et outils SEO.

 

[SHP]

Bonjour,

Cloudflare est bien supporté sur l'ensemble des infrastructures. Le WAF en place permet à la fois d'assuré une protection aux hébergés et un meilleur support des différents CDN et outils SEO.

Bonjour et merci pour votre apport
Si je comprends bien les comptes hébergés sur PlanetHoster avec la solution The World sont protégés. par votre WAF
Alors pourquoi notre compte a -t-il reçu des surcharges avec pas mal d'entre elles illégitimes?
Mis à part d'adopter la solution Hybride que nous ne pouvons pas nous payer que nous conseillez-vous à peu de frais ?
Cordialement

 

[Alexth]

Bonjour
En quoi consiste exactement le principe du Bannissement de l'adresse d'un client avec le header CF-Connecting-IP et non X-Forwarded-For pour les ip cloudflares?
Je n'ai pas bien compris
Merci

Cloudflare indique l'adresse IP du client dans le header http CF-Connecting-IP car un serveur web non compatible avec cloudflare va lui prendre l'IP présente dans le header X-Forwarded-For (qui est l'IP réel de connexion).



Wordfence par exemple permet de détecter ce header et d'y appliquer ces règles de sécurité efficacement.

Il faut normalement intégrer un module coté hebergeur pour effectuer ceci automatiquement https://github.com/cloudflare/mod_cloudflare

Ce module restaure la "vrai ip" du client pour que les WAF puisse faire leurs travail :

https://support.cloudflare.com/hc/f...dresses-IP-des-visiteurs-avec-mod-cloudflare-

Cordialement

 

[tortuegeniale69]

Bonjour,

Je suis aussi preneur d'une solution viable.
Qu'est il prévu par planet hoster pour régler le problème ?

Merci a vous

 

[Victor M.]

Bonjour,

Je suis aussi preneur d'une solution viable.
Qu'est il prévu par planet hoster pour régler le problème ?

Merci a vous

Le problème ne sera jamais résolu.

Cloudflare ne peut pas fonctionner correctement sur planethoster car ils appliquent une "politique zéro trust" ce qui empêche toute possibilité de résolution de ce problème.

Les IP affichés ne seront jamais celle du client réel car pour ça il faudrait faire "confiance" à cloudflare.

Si vous souhaitez avoir cloudflare ce n 'est pas possible chez planet hoster.

Il faut désactivé cloudflare et exposé vos sites aux attaques.

Bien a vous,

 

[tortuegeniale69]

c'est dommage car j'adore vraiment le service de planet hoster et leur réactivité, mais rien que pour ça j'envisage de changer d'hébergeur....

 

[tortuegeniale69]

perso j'utilise pas wordpress, mais joomla.
après j'ai un site assez lourd qui tourne chez eux et vraiment c'est très stable, perfs très bonne et support très réactif.
j'ai eu leur support et cloudflare est compatible, mais pas avec LSCache par contre..Ca sera l'un ou l'autre du coup.

 

[SHP]

Bonsoir
Je suis nouveau dans le système mais trouve que l'hébergeur PlanetHoster est très bien leur SAV est rapide je n'ai jamais attendu longtemps des réponses à nos questions.
Je sais qu'ils sont en train de travailler sur l'amélioration des protections des comptes mutualisés, espérons que tout va aller vers le mieux.
Par ailleurs je trouve aussi qu'ils sont ouverts dans la mesure où dans leur propre forum ils ont laissé passer une contre publicité.

 

[tortuegeniale69]

oui en effet, PlanetHoster est vraiment un très bon hébergeur et leur support est très bien.
mais de temps en temps il y a des choix que j'ai beaucoup de mal à comprendre :-/

 

[PH-Saber]

Bonjour a tous,

L'ip affichée est bien celle du client réel. Cloudflare est 100% compatible sur The World.

 

[tortuegeniale69]

Ok mais du coup pourquoi votre support m'a répondu ceci:

Pour votre question avec cloudflare, l’offre the world va supporter cloudflare. Certains clients vont l’utiliser.

Par contre, il n’est pas possible de faire un whitelist d’ip sur nos infrastructures The World. Normalement, lorsqu’un bot tente
d’attaquer le serveur ou un login wordpress, nous allons bloquer l’ip après quelques tentatives. En utilisant cloudflare, ce sera
l’ip cloudflare qui sera bloqué. Cela peut causer des soucis avec des visiteurs légitimes qui vont recevoir un message ip bloqué.

Si vous passez par cloudflare, nous vous invitons à mettre la règle suivante en place (même si vous avez un joomla) :
https://support.cloudflare.com/hc/en...like-WordPress

 

[PH-Saber]

Je vais regarder avec le reste de l'équipe. Une communication officielle sera effectuée prochainement. Quoi qu'il en soit, cloudflare est supporté.

 

[tortuegeniale69]

ok donc vous affirmez que avec CloudFlare sur votre offre The World il n'y aura aucun blocage d'IP non justifié et aucun problème opérationnel d'accès au site?

 

[PH-Marc-André.B.]

Bonjour,

Nous confirmons que CloudFlare est bien supporté et n'hésitez-pas à nous communiquer par billet via la section mon support de votre espace client afin que nous vérifions la situation si vous croyiez avoir subi des blocages d'adresses IP injustifiés sur votre service avec nous.

Nous pourrons regarder le tout de plus près pendant en attendant,

 

[tortuegeniale69]

Ok merci de votre retour, je vais le tester sur un site et voir comment cela se comporte.

Bonne soirée

 

[yoyo76]

Bonjour a tous,

L'ip affichée est bien celle du client réel. Cloudflare est 100% compatible sur The World.

Ah oui? Très bonne nouvelle ! Du coup les billets (JMM-710-26727 et RBS-159-58426) que j'ai ouvert en 2020 vont enfin pouvoir être cloturés ! Parce que moi mon expérience c'est que des pages de captcha était envoyées en lieu et place de n'importe quel type de fichier. Javascript et autre... Du coup Cloudfrare mettait en cache lesdites pages de captcha à la place des fichiers. Rendant le site totalement inaccessible... La réponse qui me fut faite à l'époque ?

Il n'est pas possible sur un serveur mutualisé de whitelister les ip de cloudflare.

Je vous invite à passer vers votre propre serveur dédié, cela vous permettra d"avoir carte blanche et pourvoir mettre les limitations de votre choix.

Vous pourrez donc whitelister les ip de cloudflare

Du coup vos propos tenus ici et le tuto qui explique comment utiliser cloudflare avec The World s'apparentent en ce qui me concerne et jusqu'à preuve du contraire à de la publicité mensongère.

 

[PH-Mina]

Bonjour,

Le pare-feu propriétaire PlanetHoster fonctionne très bien avec CloudFlare et plusieurs autres CDN.

Voici, quelques astuces intéressantes pour la configuration avec LScache :

https://kb.planethoster.com/guide/a...de-litespeed-cache-avec-le-cdn-de-cloudflare/

Merci pour votre confiance.

 

[marckisscool]

Bonjour,

Je me permets une petite remarque sur ce que je viens de lire.

Pour les utilisateurs de Cloudfare:
Cloudfare ne protège en rien votre site internet, tout au mieux il fait office de cdn externe permettant d'alléger la charge sur l'hebergement PH mais ça s'arrête là côté serveur, côté client c'est une lourdeur de chargement supplémentaire avec du capcha supplémentaire. C'est pas hyper compliqué de le contourner et ça ne sécurise aucunement votre site web, donc s'en remettre à lui seul est une erreur.

Pour PH:
le LSCache est un supplément payant sur l'offre de base, je me pose la question de sa pertinence avec le service storage que propose maintenant PH.

 

[PH-Marc-André.B.]

Bonjour @marckisscool ,

Depuis Janvier 2023, Nous avons déployé Open LiteSpeed sur les serveurs World Standard alors de cette façon tous les clients PlanetHoster qui ont The World peuvent désormais jouir des avantages de LSCache

 

[yoyo76]

Bonjour,

Je me permets une petite remarque sur ce que je viens de lire.

Pour les utilisateurs de Cloudfare:
Cloudfare ne protège en rien votre site internet, tout au mieux il fait office de cdn externe permettant d'alléger la charge sur l'hebergement PH mais ça s'arrête là côté serveur, côté client c'est une lourdeur de chargement supplémentaire avec du capcha supplémentaire. C'est pas hyper compliqué de le contourner et ça ne sécurise aucunement votre site web, donc s'en remettre à lui seul est une erreur.

Pour PH:
le LSCache est un supplément payant sur l'offre de base, je me pose la question de sa pertinence avec le service storage que propose maintenant PH.

Merci pour cette intervention mais :
- 1) Peu importe l'intérêt que chacun porte à Cloudflare, le problème est qu'on est sensé pouvoir l'utiliser avec PH et que tel n'est pas le cas.
- 2) Ce que vous dites est faux. Ou l'était à l'époque ou j'utilisais Cloudflare, qui, dans sa version gratuite, proposait un pare feu finement paramétrable me permettant de blacklister les ips malveillantes que ledit parfeu me permettaient d'identifier en temps réel. Sans compter la mise en cache, également finement paramétrable, permettant d'atteindre des performances sans commune mesure à ce que j'observe depuis que j'ai du y renoncer. Et les seuls capcha auxquels j'ai eu à faire sont celles de PH, pas de Cloudflare...

 

[yoyo76]

Bonjour,

Le pare-feu propriétaire PlanetHoster fonctionne très bien avec CloudFlare et plusieurs autres CDN.

Voici, quelques astuces intéressantes pour la configuration avec LScache :

https://kb.planethoster.com/guide/a...de-litespeed-cache-avec-le-cdn-de-cloudflare/

Merci pour votre confiance.

A défaut de relever du mensonge, ce que vous dites est faux. Preuve en est votre message du 26/11/2020 dans lequel vous, Mr Mina S., me conseilliez de désactiver Cloudflare.

"...nous recommandons de désactiver CloudFlare, car les DNS anycast de PlanetHoster sont très performants. ..."

Et lors de notre conversation téléphonique, n'ayant rien d'autre à proposer, vous m'avez simplement conseiller d'utiliser ls cache et de migrer de cpanel à votre propre solution... Bref... Rien à voir...

Croyez par ailleurs bien que je ne vous fais plus aucune confiance.

 

[alexonbstudio]

bj, moi sa fonctionne sur l'un de mes site utilise cloudflare en même temps:
en gros il faut trop touché le WAF de cloudflare juste le nécessaire juste: le cache, ssl, config dns et le page rules si vous utiliser un CMS wordpress, joomla etc...

 

[yoyo76]

bj, moi sa fonctionne sur l'un de mes site utilise cloudflare en même temps:
en gros il faut trop touché le WAF de cloudflare juste le nécessaire juste: le cache, ssl, config dns et le page rules si vous utiliser un CMS wordpress, joomla etc...

ça fonctionne jusqu'au moment ou le parfeu ph décide de retourner une page de capcha à la place d'un fichier js, css... et que cloudflare la met en cache à la place du fichier attendu... Auquel cas mon site n'affiche pas la page de capcha, mais juste une jolie page blanche... et une erreur dan la console m'indiquant, et pour cause, une erreur de syntaxe javascript...

 

[PH-Marc-André.B.]

Bonjour @yoyo76 ,

Depuis 2020 les choses ont beaucoup changés et nous confirmons que CloudFlare est bien compatible.

Si vous éprouvez des blocages dans le pare-feu n'hésitez-pas à nous créer un ticket pour que nous débloquions les IP bloquées.

 

[marckisscool]

Merci pour cette intervention mais :
- 1) Peu importe l'intérêt que chacun porte à Cloudflare, le problème est qu'on est sensé pouvoir l'utiliser avec PH et que tel n'est pas le cas.
- 2) Ce que vous dites est faux. Ou l'était à l'époque ou j'utilisais Cloudflare, qui, dans sa version gratuite, proposait un pare feu finement paramétrable me permettant de blacklister les ips malveillantes que ledit parfeu me permettaient d'identifier en temps réel. Sans compter la mise en cache, également finement paramétrable, permettant d'atteindre des performances sans commune mesure à ce que j'observe depuis que j'ai du y renoncer. Et les seuls capcha auxquels j'ai eu à faire sont celles de PH, pas de Cloudflare...

On peut le retourner dans tous les sens, cloudfare comme le waf sont basés sur des règles de failles identifiées et largement exploitées concernant que des produits grand public, en général elles sont déjà patchées, il ne protège en rien votre site contre une attaque spécifique et une exploitation de nouvelle faille. C'est d'ailleurs contre productif pour quelqu'un qui sécurise son développement et mets à jours ses produits.
Le principe d'un pare feu c'est de bloquer, si c'est à vous de le faire, à savoir identifier et bloquer, votre produit ne sert à rien.
La seule chose qui va apporter un plus avec cloudfare: faire une DDOS sur cloudfare sera plus compliqué que directement sur votre site web, puisque vous n'avez pas la même infra derrière.
Je maintiens mon propos que cela ne sécurise rien du tout.

 

[PH-Saber]

Bonjour,

Cloudflare est 100% compatible avec tous les produits PH. Ce forum l'utilise entre autre.

Je ferme cette discussion car les échanges divergent du sujet principal.

Si vous rencontrez un souci, ouvrez un ticket SVP et demander de me l'assigner.