تنظیم دامنه روی پورت خاص در کلودفلر با Origin Rule و Configuration Rule

امروزه بسیاری از سرویس‌ها، پنل‌های مدیریتی، داشبوردهای مانیتورینگ، نرم‌افزارهای تحت وب و APIها روی پورت‌هایی غیر از 80 و 443 اجرا می‌شوند. در چنین شرایطی معمولاً مدیر سرور تمایل دارد یک دامنه یا ساب‌دامین اختصاصی را به آن سرویس متصل کند، بدون اینکه کاربران مجبور باشند شماره پورت را در انتهای آدرس وارد کنند.

خوشبختانه کلودفلر (Cloudflare) با قابلیت Origin Rules این امکان را فراهم کرده است که درخواست‌های ورودی یک دامنه یا ساب‌دامین را به یک پورت مشخص روی سرور هدایت کنیم. همچنین اگر سرویس موردنظر فاقد SSL معتبر باشد یا امکان فعال‌سازی HTTPS روی آن وجود نداشته باشد، می‌توان با استفاده از Configuration Rules فقط همان دامنه یا ساب‌دامین را در حالت Flexible SSL قرار داد، بدون اینکه تنظیم SSL کل سایت تغییر کند.

در این آموزش با نحوه تنظیم دامنه روی یک پورت خاص در کلودفلر آشنا می‌شویم.

چرا به فوروارد کردن دامنه به یک پورت خاص نیاز داریم؟

در بسیاری از سناریوها سرویس‌ها روی پورت‌های اختصاصی اجرا می‌شوند. برای مثال:

• پنل مدیریت سرور روی پورت 8000
• سرویس مانیتورینگ روی پورت 8080
• داشبورد Grafana روی پورت 3000
• نرم‌افزارهای Node.js روی پورت 5000
• APIهای اختصاصی روی پورت‌های سفارشی

به‌جای استفاده از آدرس‌هایی مانند:

https://panel.example.com:8000

می‌توان از آدرس ساده‌تر زیر استفاده کرد:

https://panel.example.com

و مسئولیت هدایت ترافیک به پورت 8000 را به کلودفلر سپرد.

پیش‌نیازهای تنظیم دامنه روی پورت خاص در کلودفلر

قبل از شروع، موارد زیر باید آماده باشند:

• دامنه روی کلودفلر فعال باشد.
• رکورد DNS مربوط به دامنه یا ساب‌دامین ایجاد شده باشد.
• رکورد DNS در حالت Proxied (ابر نارنجی) قرار داشته باشد.
• سرویس موردنظر روی سرور فعال و در حال گوش دادن روی پورت مشخص باشد.
• فایروال سرور دسترسی کلودفلر به پورت موردنظر را مسدود نکرده باشد.

مرحله اول: ایجاد ساب‌دامین در DNS

ابتدا وارد پنل Cloudflare شوید و دامنه موردنظر را انتخاب کنید.

سپس از بخش:

DNS → Records

یک رکورد جدید ایجاد نمایید.

نمونه:

در نهایت گزینه Proxy Status را روی Proxied قرار دهید.

مرحله دوم: ساخت Origin Rule برای هدایت ترافیک به پورت خاص

اکنون باید مشخص کنیم که درخواست‌های ورودی به ساب‌دامین موردنظر به یک پورت خاص روی سرور ارسال شوند.

از منوی:

Rules → Overview

در بخش Origin Rules روی Create Rule کلیک کنید.

در فیلد Rule Name یک نام دلخواه قرار دهید.

تنظیم شرط Hostname

در قسمت شرط‌ها (When incoming requests match):

گزینه زیر را انتخاب کنید:

این شرط باعث می‌شود قانون فقط روی همان ساب‌دامین اعمال شود.

تنظیم Origin Port

در بخش اقدامات (Then):

گزینه:

Destination port

را روی

Rewrite to

تنظیم کرده و سپس شماره پورت موردنظر را وارد نمایید.

برای مثال:

8000

در نتیجه تمام درخواست‌های:

https://panel.example.com

به:

SERVER_IP:8000

ارسال خواهند شد.

بررسی عملکرد Origin Rule

پس از ذخیره Rule، چند دقیقه منتظر بمانید تا تنظیمات در شبکه کلودفلر منتشر شوند.

اکنون با مراجعه به:

https://panel.example.com

باید سرویس در حال اجرا روی پورت 8000 نمایش داده شود.

در این حالت کاربر هیچ نیازی به وارد کردن شماره پورت نخواهد داشت.

مشکل SSL در سرویس‌های داخلی

گاهی سرویس موردنظر دارای SSL معتبر نیست.

برای مثال:

• پنل فقط روی HTTP اجرا شده است.
• نرم‌افزار از HTTPS پشتیبانی نمی‌کند.
• گواهی SSL روی سرویس نصب نشده است.
• سرویس در شبکه داخلی یا پشت Reverse Proxy قرار دارد.

در چنین شرایطی اگر حالت SSL دامنه روی:

Full

یا

Full (Strict)

قرار داشته باشد، کلودفلر هنگام اتصال به سرور با خطا مواجه خواهد شد.

خطاهای رایج:

• Error 525
• Error 526
• SSL Handshake Failed

بسیاری از مدیران سایت برای رفع این مشکل کل دامنه را روی Flexible SSL یا Off قرار می‌دهند که کار درستی نیست؛ زیرا امنیت سایر بخش‌های سایت کاهش پیدا می‌کند.

راهکار بهتر استفاده از Configuration Rule است.

مرحله سوم: ایجاد Configuration Rule برای Flexible SSL فقط روی یک ساب‌دامین

کلودفلر امکان تعریف تنظیمات اختصاصی برای هر دامنه یا ساب‌دامین را فراهم کرده است.

برای این کار وارد مسیر زیر شوید:

Rules → Overview

در بخش Configuration Rules روی Create Rule کلیک کنید.

تعریف شرط Hostname

ابتدا یک نام دلخواه مشخص کرده و شرط زیر را ایجاد کنید:

برای استفاده از این حالت روی چند دامنه مختلف، می‌توانید با استفاده از شرط Or دامنه های بیشتری اضافه کنید.

تغییر SSL Mode

در قسمت تنظیمات، بخش SSL گزینه Select SSL/TLS encryption mode را روی:

Flexible

قرار دهید.

در نتیجه فقط همین ساب‌دامین از Flexible SSL استفاده خواهد کرد و سایر بخش‌های سایت همچنان می‌توانند روی:

Full (Strict)

باقی بمانند.

مزایای استفاده از Configuration Rule به جای تغییر SSL کل دامنه

استفاده از Configuration Rule مزایای مهمی دارد:

افزایش امنیت

تنها سرویس موردنظر از Flexible استفاده می‌کند و سایر بخش‌های سایت همچنان با Full Strict محافظت می‌شوند.

مدیریت ساده‌تر

نیازی به تغییر مداوم SSL Mode کل دامنه وجود ندارد.

جلوگیری از بروز خطا

پنل‌ها و سرویس‌های داخلی بدون نیاز به نصب SSL اختصاصی در دسترس قرار می‌گیرند.

سازگاری بیشتر

برای بسیاری از سرویس‌های مانیتورینگ، داشبوردها و نرم‌افزارهای سازمانی کاربردی است.

نمونه سناریوی عملی

فرض کنید شرایط زیر وجود دارد:

می‌توان برای هر ساب‌دامین یک Origin Rule جداگانه تعریف کرد:

و فقط برای سرویس‌هایی که SSL ندارند یک Configuration Rule با Flexible SSL ساخت.

نکات مهم قبل از استفاده

• رکورد DNS باید Proxied باشد.
• فایروال سرور باید دسترسی IPهای کلودفلر را مجاز کند.
• در صورت امکان از Full (Strict) استفاده کنید و Flexible را فقط برای سرویس‌های خاص به کار ببرید.
• برای سرویس‌های حساس بهتر است SSL معتبر روی سرور نصب شود.

جمع‌بندی

قابلیت Origin Rules در کلودفلر یکی از بهترین روش‌ها برای اتصال دامنه یا ساب‌دامین به سرویس‌هایی است که روی پورت‌هایی غیر از 80 و 443 اجرا می‌شوند. با استفاده از این قابلیت می‌توانید بدون نمایش شماره پورت به کاربران، ترافیک را به مقصد موردنظر هدایت کنید.

همچنین اگر سرویس مقصد فاقد SSL باشد، به کمک Configuration Rules می‌توان تنها همان دامنه یا ساب‌دامین را روی Flexible SSL قرار داد. این روش باعث می‌شود تنظیمات امنیتی سایر بخش‌های سایت دست‌نخورده باقی بماند و در عین حال سرویس موردنظر بدون خطا در دسترس کاربران قرار گیرد.

با تنظیم دامنه روی پورت خاص در کلودفلر می‌توانید ترافیک ورودی دامنه یا ساب‌دامین های مورد نظر را به راحتی به پورت‌های مختلف سرور خود هدایت نمایید.