Блокировка страны, блокирует выдачу сертификатов, хотя есть правило, разрешающее доступ известным ботам. Пожалуйста, если кто знает, как с этим бороться, пишите. Я выдаю сертификаты в панели Hestia, и пока я не отключу правило ограничения страны, я получаю ошибку 403. Как видите, я уже добавил правила, взятые из заблокированного журнала, доступа к /.well-known/acme-challenge/ и Mozilla/5.0 (совместимо; сервер проверки Let’s Encrypt; +https://www.letsencrypt.org ), но это не помогло.
(not ip.geoip.country in {“RU”} and not cf.client.bot and http.request.uri.path ne " /.well-known/acme-challenge/" and ip.src ne 198.12.32.3 and ip.src ne 198.12.32.2 and http.user_agent ne " Mozilla/5.0 (compatible; Let’s Encrypt validation server; +https://www.letsencrypt.org)") or (http.request.version eq “HTTP/1.0”) or (not ssl)
Во-первых, кажется, что в ваших строках есть начальные пробелы, поэтому ваше правило никогда не сработает. Однако даже удаление этих заготовок не обязательно исправляет ситуацию. Например, вы используете ne для пути URL, который проверяет всю строку, а не только подстроку.
Чего именно вы хотите добиться? Блокировать все запросы не из России и не от известных ботов? Let’s Encrypt является частью https://radar.cloudflare.com/traffic/verified-bots, поэтому cf.client.bot должен подойти. я бы попробовал это
Спасибо за ваш ответ, я создал правила блокировки страны, и оно действует(видимо когда редактировал IP что то накосячил. Про бота спасибо, установлю, проверю, " Например, вы используете ne для пути URL, который проверяет всю строку, а не только подстроку.", а как это выглядит чтобы действовало?
Как уже упоминалось, ваше правило в настоящее время НЕ МОЖЕТ работать, но не совсем понятно, чего вы пытаетесь достичь. Вы пробовали выражение, которое я предложил?
Да, так он выпустился(сертификат), спасибо. Получается что в такие правила нельзя пихать что-то еще. ладно , погуглю. Спасибо за внимание, всего вам наилучшего)
А подскажите может вот такую историю, я блокирую по стране, все что не из России, но сервер находится в Польше, соответственно мне стоит разрешить определенные IP сервера(Польши), как мне это сделать? Спасибо *(вот после того как я их добавил в исключение, и началось то что сертификаты получали 403)
Как правило, правила должны быть как можно короче и не комбинировать разные варианты использования, но я понимаю, что у вас есть определенный предел правил, которые могут потребовать этого.
В любом случае, если есть проблемы с продлением Let’s Encrypt, вы также можете взглянуть на сертификаты Cloudflare Origin.
Что касается вашего вопроса об адресе, сервер должен быть настроен так, чтобы принимать соединения только с адресов на IP Ranges. Затем проверка страны будет выполнена на стороне прокси.
