Skip to main content

VPS: txAdmin用Cloudflareトンネルの設定

このガイドは、以下の製品を使用して作成されました:

(詳細はプロバイダーごとの製品によって異なる場合がありますが、基本的な概念は同じです)

VPS

はじめに

ZAP-HostingのDDoS保護に加えてさらにセキュリティを強化したいなら、Cloudflareトンネルを使ってtxAdminインスタンスを守るのがおすすめ。この設定をすると、txAdminのウェブインターフェースはサーバーのパブリックIPを通さず、自分のドメイン経由で安全にアクセスできるようになるよ。txAdminのポートを狙った攻撃はCloudflareがフィルタリングしてくれて、ローカルポートは完全にロックダウンできるけどアクセスは失わないってわけ。

前提条件

WindowsでCloudflareトンネルを使うには、Windows VPS、動作中のtxAdminインストール、txAdminのポート、そしてCloudflareアカウントに接続済みのドメインが必要。もしドメインがまだCloudflareに接続されていなければ、まずはCloudflareセットアップガイドをチェックしてね。

Cloudflareトンネルは、サーバーからCloudflareへの暗号化されたアウトゴーイング接続を作る仕組みだから、txAdminのためにパブリックポートを開けっぱなしにする必要がないよ。

Cloudflareの設定

WindowsのvServerにcloudflaredをインストールする前に、Cloudflareのダッシュボード内でトンネルを作成・設定するよ。

CloudflareアカウントにログインしてZero Trustセクションに進もう。そこで新しいトンネルを作成して、後でtxAdminインターフェースへのトラフィックを転送する設定をするんだ。

img

Cloudflareトンネルのインストール

Cloudflareが提供する小さなツール「cloudflared」を使うよ。Windowsへのcloudflaredのインストールは超簡単。まずはWindowsインストーラーをダウンロード。

img

ファイルをダウンロードしたらインストーラーを実行してセットアップを完了させてね。インストールが終わったら、管理者権限でコマンドプロンプトを開いて、以下のコマンドを実行しよう:

cloudflared.exe service install eyJhIjoiMj...

コマンドを実行すると、サーバーがトンネル経由でCloudflareに接続するよ。セットアップが成功すると、ConnectorsセクションのステータスがConnectedに変わって、トンネルがアクティブで動作していることが確認できる。

img

Cloudflareトンネルの設定

次に、Route Trafficの設定を行うよ。好きなサブドメインを新規作成しよう。ここでは例としてサブドメインtxAdminを使うよ。これが後でtxAdminインターフェースにアクセスするためのURLになる。

使いたいドメインを選択して、サービスの種類はHTTPに設定。URLにはlocalhost:ポート番号を入力しよう。ポート番号はtxAdminで設定しているポートに置き換えてね。ここでは例として40500ポートを使うよ。

img

セキュリティ推奨

デフォルトのtxAdminポート40120を使うよりも、別のポートを使うほうがセキュリティ的におすすめだよ。

Windowsファイアウォールの設定

トンネルの外からポートにアクセスされないように、Windowsファイアウォールで該当ポートへの接続をlocalhostからのみに制限しよう。リモートアドレスを127.0.0.1に限定するルールを追加するんだ。これで全てのトラフィックがローカルシステムから発生していることを強制し、外部からのアクセスをブロック。cloudflaredの背後にあるサービスがトンネル外からアクセスされるのを防げるよ。

netsh advfirewall firewall add rule name="Cloudflared Local Only" dir=in action=allow protocol=TCP localport=40500 remoteip=127.0.0.1

この設定で、マシン外からのアクセスは全てブロックされ、cloudflaredの背後のサービスはトンネル外からアクセスできなくなるよ。

まとめ

Cloudflareトンネルがアクティブになると、txAdminインターフェースは自分のドメイン経由でのみアクセス可能になり、全リクエストはCloudflareを通ってフィルタリング&セキュリティが強化される。

img

サーバーのIPから直接txAdminポートにアクセスできなくなるので、元々の攻撃対象が完全に消えるよ。これでtxAdminは安定して安全に使えて、誰かがインターフェースを攻撃や過負荷にしようとしても問題なし。

質問やサポートが必要な場合は、いつでも気軽にサポートチームに連絡してね!毎日対応してるよ 🙂

Cookie settings