77 подписчиков

Как отключить IPv6 в Cloudflare

12 апреля 202412 апр 2024

218

2 мин

Бывает, что после подключения сайта к Cloudflare в Метрике можно наблюдать резкий всплеск прямого трафика, а в логах будут адреса вида 2a0e:d642:9c52:7dec:9121:c20c:6646:bba7. Все потому, что Cloudflare по умолчанию отдает сайт по протоколу IPv6 даже, если днс-записи AAAA были удалены. На сегодняшний день основная масса ботов использует IPv6 прокси просто потому, что они стоят дешевле пачки соли. Возможно, в скором времени ситуация изменится, но пока приходится отключать этот протокол. Вот так выглядит настройка IPv6 в панели Cloudflare — она не активна и выключить не получится. Выход один — использовать API. Можно, конечно, настроить проверку для всех адресов IPv6 ::/0 и добавить в исключения ASN мобильных операторов (если этого не сделать, то большинство посетителей с МТС увидят капчу), но лучше просто отключить. Нет, мы не блокируем посетителям доступ к сайту, так как у реального пользователя в наличии два адреса — ipv4 и ipv6, а у бота только ipv6. Список ASN мобильных операторов,

Оглавление

IPv6 в Cloudflare
Приступаем к отключению IPv6

На сегодняшний день основная масса ботов использует IPv6 прокси просто потому, что они стоят дешевле пачки соли. Возможно, в скором времени ситуация изменится, но пока приходится отключать этот протокол.

IPv6 в Cloudflare

Вот так выглядит настройка IPv6 в панели Cloudflare — она не активна и выключить не получится. Выход один — использовать API.

Можно, конечно, настроить проверку для всех адресов IPv6 ::/0 и добавить в исключения ASN мобильных операторов (если этого не сделать, то большинство посетителей с МТС увидят капчу), но лучше просто отключить. Нет, мы не блокируем посетителям доступ к сайту, так как у реального пользователя в наличии два адреса — ipv4 и ipv6, а у бота только ipv6.

Список ASN мобильных операторов, который я в основном использую, если все же решите настроить правило:

8359
28884
25159
25106
48503
25513
29497
31133
31205
31213
31163
31224

А также список основных спам сетей IPv6:

204916
34665
211027
204490
44812
205125
45027
213220
50113
60389

Если вы проверили логи, и спам идет к примеру из AS204916, то как временная мера его блокировка вполне допустима. Но через время придут другие и все равно придется отключать IPv6.

Приступаем к отключению IPv6

Будем использовать стандартный терминал Windows (Win + R, пишем cmd) или Mac OS.

Далее заходим в панель Cloudflare, раздел Network и нажимаем API.

Копируем себе ключ 2bd1c370eb374566013a03e451b2404 (у вас будет другой) и переходим дальше.

Идем в Мой профиль он в правом верхнем углу и открываем API Tokens, нам необходимо посмотреть Global API Key

После ввода пароля от панели Cloudflare откроется окошко с вашим API Key, копируем его и сохраняем в тот же файлик, что и первый ключ.

Теперь самый ответственный момент. Скопируйте себе команду

curl -X PATCH "https://api.cloudflare.com/client/v4/zones/KEY-1/settings/ipv6" \

-H "X-Auth-Email: email_address" \

-H "X-Auth-Key: KEY-2" \

-H "Content-Type: application/json" \

--data '{"value":"off"}'

Вместо KEY-1 вставляем ключ полученный в разделе Cloudflare - Network.
Вместо email_address пишем свой адрес на который регистрировали Cloudflare.
Вместо KEY-2 вставляем Global API Key полученный в разделе Cloudflare - API Tokens.

Теперь копируем команду с вашими данными, вставляем в терминал и нажимаем Enter. Результат должен быть таким:

{"result":{"id":"ipv6","value":"off","modified_on":"2024-04-11T21:31:23.425371Z","editable":true},"success":true,"errors":[],"messages":[]}

Если зайти в раздел Cloudflare - Network и переключатель будет серым, значит все сделали правильно.

Теперь ваш сайт закрыт от основной массы ботов и можно приступать к другим настройкам — анализ логов, блок спамных ipv4 сетей, поиск паттернов и тд.