DNS의 프록시 설정을 켜놓으니 무한 redirect가 발생했다

[skylar1220]

🧨 DNS의 프록시 설정을 켜놓으니 무한 다이렉트가 발생했다.

원인: Cloudflare의 프록시 설정을 켜놓았고, ssl 암호화 모드가 가변이었기 때문

1. 클라이언트 → Cloudflare:
   • 클라이언트는 HTTPS를 사용하여 Cloudflare에 요청을 보냅니다.
   • Cloudflare는 HTTPS 요청을 수신하고 TLS 종료(TLS Termination)를 수행합니다. 즉, HTTPS를 해제하여 클라이언트로부터 받은 요청을 복호화합니다.

2. Cloudflare → Nginx (원본 서버):
   • Flexible 모드에서는 Cloudflare가 Nginx(원본 서버)로 요청을 HTTP로 전달합니다.
   • 따라서 Nginx는 HTTPS가 아닌 HTTP 요청을 수신합니다.

3. Nginx 동작:
   • Nginx 설정 파일을 기준으로 요청을 처리합니다.
   • 요청이 listen 80으로 처리되면, 클라이언트(브라우저)에게 **HTTP 리다이렉션 응답(3xx)**을 반환합니다.
   • 하지만 Cloudflare는 이 리다이렉션을 다시 HTTP로 처리하여 무한 루프가 발생할 수 있습니다.

제안

프록시 모드 유지 + SSL/TLS 모드 Full(strict로)변경

SSL/TLS 모드 옵션

• Off: SSL/TLS 비활성화 (모든 요청이 HTTP로 전달됨).
• Flexible: 클라이언트는 HTTPS로 Cloudflare에 연결되지만, Cloudflare는 Nginx로 HTTP로 요청을 전달.
• Full: 클라이언트와 Cloudflare는 HTTPS로 연결되고, Cloudflare는 Nginx로 HTTPS로 요청을 전달. (Self-Signed 인증서 허용)
• Full (strict): Full과 동일하지만, Nginx에 설정되어있는 인증서가 공인된 인증서여야함

CloudFlare의 프록시 모드를 왜 켜야하지?

1. DDoS 방어
   클라우드플레어는 악성 트래픽과 봇을 필터링하여 서버로 전달하지 않습니다.
   예: 수천 건의 스팸 요청이 클라우드플레어로 들어와도, 클라우드플레어가 이를 차단하여 서버는 정상적인 트래픽만 받음.

2. TLS 관리
   클라우드플레어가 클라이언트와 HTTPS로 통신하고, 서버와는 HTTP로 통신(또는 HTTPS).
   예: 서버가 HTTPS 설정이 어렵더라도, 클라우드플레어가 대신 HTTPS를 처리하여 클라이언트에게 안전한 연결 제공.

참고: https://developers.cloudflare.com/dns/manage-dns-records/reference/proxied-dns-records/

제안 철회 및 최종 결정

ddos, https으로 변환이 적용하고자 한 이유였으나,
ddos 방지 이유는 무료 버전은 거의 효과가 없다/있다 분분하고 느끼지 못했음 pass,
https로 변환은 프론트에서 해주고있고,
api 요쳥자체가 http로 들어와도 적을것, 브라우저로부터의 요청이 아니므로 굳이 https로 젼환하는 걸 클라우드 프론트에 맡길 필요없다.