Configurer Cloudflare

Cloudflare est un service qui protège les sites web contre les attaques, accélère le chargement des pages et renforce la sécurité globale.

Fonctionnalités principales :

• Blocage des bots malveillants, des attaques DDoS et du spam
• Mise en cache des fichiers statiques (CSS, JS, images) sur des serveurs dans le monde entier
• Protection contre les menaces au niveau réseau
• Certificats SSL/TLS gratuits et bien plus encore

Liste complète des forfaits et fonctionnalités : Cloudflare Plans & Pricing
Support et documentation : Cloudflare Help Center

Pour une protection et des performances optimales, adoptez cette approche en couches :
Cloudflare → pare-feu Fornex → votre serveur

Cette configuration permet de :

• Filtrer les menaces évidentes au niveau de Cloudflare
• Restreindre le trafic entrant aux seules adresses IP de Cloudflare via le pare-feu Fornex
• Bloquer tout accès direct à votre serveur depuis l'internet public

Étape 1. Créer un compte Cloudflare

1. Rendez-vous sur cloudflare.com et cliquez sur Sign Up.
2. Choisissez un forfait (le plan gratuit suffit pour démarrer).
3. Saisissez votre adresse e-mail et votre mot de passe, puis vérifiez votre compte.

Inscription à Cloudflare

Étape 2. Ajouter votre domaine

1. Saisissez votre nom de domaine et cliquez sur Continue.
2. Cloudflare analyse vos enregistrements DNS existants (environ 1 à 2 minutes).
3. Une fois terminé, cliquez sur Continue.

Ajout du domaine

Étape 3. Vérifier et configurer les enregistrements DNS

Cloudflare importe automatiquement vos enregistrements DNS actuels.
Vérifiez que tous les enregistrements essentiels sont présents (A, CNAME, MX, TXT, etc.).

• Ajouter les enregistrements manquants : cliquez sur Add record, sélectionnez le type, saisissez le nom/la valeur/le TTL et enregistrez.
• Pour les sous-domaines (p. ex. api.example.com), ajoutez des enregistrements individuels — le caractère générique (*) n'offre pas une protection Cloudflare complète.
• Modifiez ou supprimez les enregistrements directement dans l'interface.

Lorsque tout est correct, cliquez sur Continue.

Configuration DNS

Étape 4. Mettre à jour les serveurs de noms

Cloudflare vous fournit deux nouveaux serveurs de noms (p. ex. ns1.cloudflare.com et ns2.cloudflare.com).
Connectez-vous à votre bureau d'enregistrement de domaine et remplacez vos serveurs de noms actuels par ceux de Cloudflare.

La propagation peut prendre jusqu'à 24 heures.
Une fois terminée, le statut de votre domaine dans Cloudflare passera à Active.

Étape 5. Configurer la protection côté serveur et le pare-feu Fornex

Pour une protection maximale, configurez le filtrage à trois niveaux :

1. Sur votre serveur

Fermez tous les ports inutiles. Ne conservez que ceux que vous utilisez réellement :

• 80 et 443 — HTTP/HTTPS (indispensables pour le site web)
• 22 — SSH (si vous l'utilisez)
• 21 — FTP (si vous l'utilisez)
• Le port du panneau de contrôle (p. ex. 8443 pour HestiaCP, 2083/2087 pour cPanel, etc.) — si vous utilisez un panneau

Pour les VPS : utilisez le pare-feu intégré dans votre espace client Fornex (VPS → onglet Firewall).
Pour les serveurs dédiés : configurez manuellement avec iptables, ufw ou firewalld — il n'y a pas de bouton de pare-feu dans le tableau de bord.

Exemple de configuration ufw de base (autoriser uniquement les IP Cloudflare) :

# Autoriser HTTP/HTTPS depuis les plages Cloudflare
sudo ufw allow from 173.245.48.0/20 to any port 80,443 proto tcp
sudo ufw allow from 103.21.244.0/22 to any port 80,443 proto tcp
# ... ajoutez toutes les plages depuis https://www.cloudflare.com/ips/

# Autoriser SSH/FTP/panneau (si nécessaire) — idéalement depuis votre IP uniquement ou Cloudflare
sudo ufw allow from YOUR_IP to any port 22 proto tcp
sudo ufw allow from YOUR_IP to any port 21 proto tcp
sudo ufw allow from YOUR_IP to any port 8443 proto tcp  # exemple pour HestiaCP

# Bloquer tout le reste sur ces ports
sudo ufw deny 80,443,22,21,8443
sudo ufw reload

Plages d'IP Cloudflare complètes et à jour : https://www.cloudflare.com/ips/

2. Chez Fornex (VPS uniquement)

Espace client → VPS → onglet Firewall :

• Créez des règles autorisant le trafic entrant uniquement depuis les plages IP de Cloudflare (liste ci-dessus)
• Autorisez les ports requis (80, 443, 22, 21, port du panneau, etc.)
• Bloquez tout le reste

Cela ajoute une couche supplémentaire — même si quelqu'un contourne Cloudflare, les attaques directes sur l'IP de votre serveur sont bloquées.
Sur les serveurs dédiés, tout le filtrage est effectué manuellement sur le serveur lui-même (iptables/ufw/firewalld).

3. Chez Cloudflare

• Activez le Proxy status (nuage orange) pour tous les enregistrements A/CNAME — le trafic transite ainsi par Cloudflare
• Dans Security → WAF, activez les Managed Rules (gratuit)
• Activez le Bot Fight Mode ou le Super Bot Fight Mode
• Dans SSL/TLS → Edge Certificates, passez en mode Full (strict)
• Dans Caching, activez la mise en cache des fichiers statiques

Après avoir configuré les trois niveaux :

• Les attaques directes sur l'IP de votre serveur sont bloquées par le pare-feu
• Cloudflare filtre la plupart des menaces
• Votre serveur ne reçoit que du trafic propre et vérifié

Vérification

• Envoyez une requête ou un e-mail de test — vérifiez les en-têtes pour les marqueurs Cloudflare (CF-Ray, CF-Connecting-IP)
• Tentez d'accéder au site directement via son IP — l'accès doit être bloqué
• Testez la vitesse de chargement des pages et la délivrabilité des e-mails