Cloudflare Workers: serverless en el edge sin servidor que mantener

JaimeAlberto
Cloudflare Workers: serverless en el edge sin servidor que mantener

Un Jedi no deja que el Imperio controle sus rutas de comunicación.

bit.ly no es gratis, lo pagas con tus clics. Registra quién hace clic, desde dónde, en qué dispositivo, a qué hora. Construye un perfil de comportamiento de tu audiencia — que es tuya — y lo vende. El acortador es el producto. Tú eres el canal de adquisición.

Necesitaba acortar URLs para los artículos del blog. La respuesta obvia era bit.ly. La respuesta que usé fue un Worker de Cloudflare.

go.jaimealberto.io/blog. Sin servidor. Sin base de datos. Sin que nadie registre los clics de mis lectores. Y el plan gratuito aguanta 100.000 peticiones al día.

Cloudflare Access: autenticación delante de cualquier servicio, sin VPN

JaimeAlberto
Cloudflare Access: autenticación delante de cualquier servicio, sin VPN

Un Jedi no muestra su posición. Ya lo vimos con Cloudflare Tunnel: sin puertos abiertos, sin IP expuesta, invisible desde internet. Ya sabemos que cuántas más capas de protección, mejor. Invisible no tiene que ser inaccesible. La URL existe. Cloudflare la atiende. Y cualquiera que la conozca puede llamar a esa puerta.

Sun Tzu lo escribió hace dos mil quinientos años: defender la posición no es suficiente. Hay que controlar quién entra y quién nos observa.

Cloudflare Access es esa capa de control. Antes de que una sola petición llegue a tus dominios, el usuario tiene que identificarse, tenemos que saber si es de confianza o no — con Google, GitHub o un código de un solo uso enviado al email. Sin contraseña compartida. Sin VPN. Sin cuenta local que gestionar. Solo: demuestra quién eres. Y si tu identidad cumple la política y eres de confianza, entras. Con el plan gratuito, hasta 50 usuarios.

Cloudflare Tunnel: expón servicios locales sin abrir puertos ni tocar el firewall

JaimeAlberto
Cloudflare Tunnel: expón servicios locales sin abrir puertos ni tocar el firewall

Un Jedi no muestra su sable hasta que es necesario. Un sysadmin no abre puertos hasta que no queda otra opción.

El acceso remoto clásico hace lo contrario: abre puertos en el router y publica tu posición. El 8443 de tu Proxmox, el 8096 de tu Jellyfin, el 22 de tu SSH — visibles para cualquier bot que escanee internet, esperando a que alguien encuentre el exploit del mes.

Cloudflare Tunnel gira esa lógica. Tu servidor establece una conexión saliente hacia Cloudflare — son ellos quienes reciben el tráfico exterior y lo reenvían hacia ti. El router no abre nada. Tu IP real no aparece en ningún sitio. El atacante no puede atacar lo que no ve.

Sin un solo puerto abierto. Sin IP fija. Sin NAT. Y tu Jellyfin accesible desde cualquier lugar del mundo con HTTPS y con tu propio dominio.

Zero Trust en mi homelab: cómo lo implementé sin gastar un euro

JaimeAlberto
Zero Trust en mi homelab: cómo lo implementé sin gastar un euro

Sun Tzu escribió que la victoria real no es ganar la batalla — es no tener que librarla.

En seguridad de red, eso se llama Zero Trust. No esperar a que el atacante entre para pararlo. Diseñar la red para que, si entra, no encuentre nada que merezca la pena atacar.

Y no necesitas un presupuesto de Fortinet para aplicarlo.

DDNS gratuito en Linux: DuckDNS, Cloudflare y ddclient para IP dinámica

JaimeAlberto
DDNS gratuito en Linux: DuckDNS, Cloudflare y ddclient para IP dinámica

En el universo Star Wars, la HoloRed permite contactar con cualquier nave o planeta independientemente de su posición en la galaxia. El equivalente en tu homelab e Internet se llama DDNS: un nombre de dominio que siempre apunta a tu servidor, aunque tu IP cambie cada vez que el router se reinicia.

En próximos artículos (VPS en Oracle Cloud y relay WireGuard) será importante no perder de vista nuestros nuevos servicios para la rebelión. Pero en tu cuartel general la IP es dinámica — tu ISP la cambia sin avisar, y de repente tu dominio apunta a un agujero negro que no lleva a ningún sitio. La solución es un cliente DDNS que detecta el cambio y actualiza el registro DNS automáticamente.

Este artículo cubre tres opciones completamente gratuitas, de menor a mayor sofisticación. Desde el script de cron más simple que puedas imaginar hasta control total del DNS con tu propio dominio. Elige el nivel de armamento que necesita tu base.

WAF en Cloudflare para una web estática. Dos reglas, API y pruebas

JaimeAlberto
WAF en Cloudflare para una web estática. Dos reglas, API y pruebas

Esta web es un sitio estático generado con Hugo. No tiene base de datos, no tiene PHP, no tiene WordPress. Y aun así, si miro los logs de Cloudflare, veo peticiones a /wp-admin, /wp-login.php y /xmlrpc.php cada pocos minutos. Bots que recorren internet buscando instalaciones de WordPress vulnerables sin importarles lo que hay realmente en el servidor.