Документация TrafficVeil

Что такое Origin?

Origin сервер

Origin — это ваш реальный веб-сервер, куда TrafficVeil проксирует легитимный трафик.

Как работает:

1. Пользователь → TrafficVeil

2. TrafficVeil фильтрует трафик

3. TrafficVeil → Origin (ваш сервер)

4. Origin → TrafficVeil → Пользователь

Что указывать как Origin:

IP адрес: 192.168.1.1

Hostname: origin.example.com

IPv6: 2001:db8::1

Порты:

HTTP: 80 (по умолчанию)

HTTPS: 443

Кастомный: любой порт

Протокол:

HTTP — Origin без SSL

HTTPS — Origin с SSL

Гибкий — TrafficVeil сам определит

Настройка Origin

Базовая настройка:

1. Откройте настройки домена

2. Перейдите во вкладку "Origin"

3. Укажите IP или hostname

4. Выберите порт и протокол

5. Сохраните

Несколько Origin (Load Balancing):

Можно добавить несколько серверов:

Primary: основной сервер

Secondary: резервный сервер

Weight: вес для балансировки

Методы балансировки:

Round Robin: по очереди

Least Connections: к наименее загруженному

IP Hash: по хешу IP клиента

Weighted: с учётом весов

Health Checks:

TrafficVeil проверяет доступность Origin:

Интервал: каждые 30 секунд

Timeout: 5 секунд

Threshold: 3 неудачи для отключения

Failover:

При недоступности Primary:

1. Переключение на Secondary

2. Уведомление в Telegram

3. Автоматический возврат при восстановлении

Защита Origin

Зачем защищать Origin:

Если атакующий узнает IP вашего Origin, он может атаковать напрямую, обойдя TrafficVeil.

Способы защиты:

1. Firewall:

Разрешите подключения только с IP TrafficVeil:

```bash

# iptables

iptables -A INPUT -p tcp --dport 80 -s 185.xxx.xxx.xxx -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j DROP

```

2. Authenticated Origin Pulls:

TrafficVeil передаёт секретный заголовок:

Настройте проверку на Origin

Отклоняйте запросы без заголовка

3. Cloudflare Tunnel (аналог):

Используйте туннель вместо публичного IP.

4. Смена IP Origin:

Если IP утёк — смените на новый.

Не делайте:

Не публикуйте Origin IP

Не используйте предсказуемые поддомены (origin.example.com)

Не отправляйте IP в email заголовках

SSL между TrafficVeil и Origin

Режимы SSL:

Off (Гибкий):

TrafficVeil → Origin по HTTP

Просто настроить

Менее безопасно

Подходит для локальной сети

Full:

TrafficVeil → Origin по HTTPS

SSL на Origin (любой сертификат)

Шифрование трафика

Самоподписанный сертификат OK

Full (Strict):

TrafficVeil → Origin по HTTPS

Только валидный сертификат

Проверка CA

Максимальная безопасность

SSL на Origin:

Если Origin поддерживает SSL:

1. Укажите порт 443

2. Выберите режим Full или Full (Strict)

3. Убедитесь, что сертификат валиден

Самоподписанный сертификат:

При режиме Full:

Самоподписанный сертификат работает

Шифрование есть, проверки нет

Оптимизация

Настройки соединения:

Keep-Alive:

Поддержание соединения с Origin:

Уменьшает latency

Экономит ресурсы

Включено по умолчанию

Connection Timeout:

Время ожидания соединения:

По умолчанию: 15 секунд

Для медленных Origin: увеличьте

Для быстрых: уменьшите

Read Timeout:

Время ожидания ответа:

По умолчанию: 60 секунд

Для долгих операций: увеличьте

Retry Policy:

Политика повторных попыток:

1-3 попытки при ошибке

Только для идемпотентных запросов

Не для POST/PUT

Сжатие:

Между TrafficVeil и Origin:

Gzip: включено по умолчанию

Brotli: если Origin поддерживает

Buffer Size:

Размер буфера ответа:

По умолчанию: 1MB

Для больших файлов: увеличьте

Настройка Origin

Что такое Origin?

Origin сервер

Как работает:

Что указывать как Origin:

Порты:

Протокол:

Настройка Origin

Базовая настройка:

Несколько Origin (Load Balancing):

Методы балансировки:

Health Checks:

Failover:

Защита Origin

Зачем защищать Origin:

Способы защиты:

1. Firewall:

2. Authenticated Origin Pulls:

3. Cloudflare Tunnel (аналог):

4. Смена IP Origin:

Не делайте:

SSL между TrafficVeil и Origin

Режимы SSL:

Off (Гибкий):

Full:

Full (Strict):

Рекомендация:

SSL на Origin:

Самоподписанный сертификат:

Оптимизация

Настройки соединения:

Keep-Alive:

Connection Timeout:

Read Timeout:

Retry Policy:

Сжатие:

Buffer Size: