diff --git a/services/bunnycdn-security.md b/services/bunnycdn-security.md new file mode 100644 index 0000000..cb4906b --- /dev/null +++ b/services/bunnycdn-security.md @@ -0,0 +1,66 @@ +--- +title: BunnyCDN 엣지 보안 (CrowdSec + 국가 차단) +updated: 2026-03-23 +tags: [cdn, bunnycdn, security, crowdsec, edge-script] +--- + +## 구성 + +- 엣지 스크립트: `crowdsec-bouncer-middleware` (ID: 64811) +- 연결된 Pull Zone: inouter (5316471), actions (5330178) +- 관리: cfb-manager (K3s tools ns) +- 소스: [[crowdsec-safeline|CrowdSec]] bloom filter + Cloudflare Turnstile 캡차 + +## 동작 순서 + +``` +요청 → BunnyCDN 엣지 + 1. 국가 차단 (Cdn-RequestCountryCode 헤더) + - 차단 시 403 반환 + 2. CrowdSec bloom filter (악성 IP 판별) + - bloom filter hit → 캡차 또는 403 + - cfb-manager가 주기적으로 bloom filter 업데이트 + 3. 캡차 (Cloudflare Turnstile) + - bloom hit된 IP에게 캡차 제시 + - 통과 시 4시간 허용 (DB + 쿠키) + 4. 정상 → Origin으로 전달 +``` + +## 차단 국가 + +US, CA, GB, DE, FR, IT, ES, NL, BE, AT, CH, SE, NO, DK, FI, PL, CZ, PT, IE, RO, HU, BG, HR, SK, SI, LT, LV, EE, LU, MT, CY, GR, IS, UA, RU, BY + +(북미 + 유럽 + 구소련) + +## 주의사항 + +- **BunnyCDN Traffic Manager 국가 차단은 사용하지 않음** — Let's Encrypt 검증 및 Origin Shield fetch를 막아서 Free SSL 발급 실패 + 500 에러 유발 +- 엣지 스크립트의 국가 차단은 `Cdn-RequestCountryCode` 헤더 기반 → CDN 내부 요청(Let's Encrypt, Origin Shield)에는 이 헤더가 없으므로 영향 없음 +- Free SSL 자동 발급/갱신 정상 동작 + +## Pull Zone 설정 + +| Pull Zone | Origin | 비고 | +|-----------|--------|------| +| inouter (5316471) | https://172.233.93.180 (오사카) | | +| actions (5330178) | https://220.120.65.245 (서울) | | + +- VerifyOriginSSL: false +- BlockedCountries: 비어있음 (엣지 스크립트에서 처리) +- Origin Shield: 비활성화 + +## CrowdSec Bouncer 구조 + +``` +CrowdSec (jp1 Incus) → 악성 IP 탐지 + ↓ +cfb-manager (K3s tools ns) → bloom filter 생성 → BunnyCDN API로 엣지 스크립트 코드에 삽입 + ↓ +엣지 스크립트 → 요청 IP를 bloom filter로 체크 → hit 시 캡차/차단 +``` + +## 관련 문서 + +- [[bunnycdn]] — BunnyCDN API 레퍼런스 +- [[crowdsec-safeline]] — CrowdSec 및 SafeLine WAF 설정 +- [[cloudflare]] — Cloudflare DNS/CDN (Turnstile 캡차 키 관리) diff --git a/services/bunnycdn.md b/services/bunnycdn.md index ae0affb..8c7e76b 100644 --- a/services/bunnycdn.md +++ b/services/bunnycdn.md @@ -598,38 +598,9 @@ Origin Shield는 CDN 엣지 PoP와 Origin 사이의 **2차 캐싱 레이어**. --- -## 15. 엣지 스크립트 보안 (CrowdSec + 국가 차단) +## 15. 엣지 스크립트 보안 -### 구성 -- 스크립트: `crowdsec-bouncer-middleware` (ID: 64811) -- 연결된 Pull Zone: inouter (5316471), actions (5330178) -- 관리: cfb-manager (K3s tools ns) - -### 동작 순서 -``` -요청 → BunnyCDN 엣지 - 1. 국가 차단 (Cdn-RequestCountryCode 헤더) - - 차단: US,CA,GB,DE,FR,IT,ES,NL,BE,AT,CH,SE,NO,DK,FI,PL,CZ,PT,IE,RO,HU,BG,HR,SK,SI,LT,LV,EE,LU,MT,CY,GR,IS,UA,RU,BY - - 차단 시 403 반환 - 2. CrowdSec bloom filter (악성 IP 판별) - - bloom filter에 hit → 캡차 또는 403 - - cfb-manager가 주기적으로 bloom filter 업데이트 - 3. 캡차 (Cloudflare Turnstile) - - bloom hit된 IP에게 캡차 제시 - - 통과 시 4시간 허용 (DB + 쿠키) - 4. 정상 → Origin으로 전달 -``` - -### 주의사항 -- BunnyCDN Traffic Manager 국가 차단은 사용하지 않음 (Let's Encrypt/Origin Shield 문제 유발) -- 엣지 스크립트의 국가 차단은 `Cdn-RequestCountryCode` 헤더 기반이라 내부 요청에 영향 없음 -- Free SSL 발급: 국가 차단이 엣지 스크립트에 있으므로 Let's Encrypt 검증 통과 가능 - -### Pull Zone 설정 -- Origin: HTTPS (서울 220.120.65.245, 오사카 172.233.93.180) -- VerifyOriginSSL: false -- 국가 차단(BlockedCountries): 비어있음 (엣지 스크립트에서 처리) -- Origin Shield: 비활성화 +→ [[bunnycdn-security]] 참조 (CrowdSec bouncer + 국가 차단 + 캡차) ## 참고 링크