Znajdź, co blokuje Cloudflare.
Logi WAF/Firewall: jakie reguły są uruchamiane podczas wywołań API SMS Fly i Checkbox (kody 403 / 1020 / JS-Challenge).
Sprawdzić, czy Managed Challenge, Bot Fight, Super Bot Fight itp. nie blokują.
Skonfigurować punktowe wyjątki, nie osłabiając ogólnej ochrony.
Firewall Rule (allow) według zakresów IP i ASN SMS Fly / Checkbox LUB
Firewall Rule (allow) według wzorców URI, na przykład:
lua
(http.request.uri.path contains "/api/smsfly")
or (http.request.uri.path contains "/api/checkbox")
Dla wykluczonych ścieżek ustawić:
Poziom bezpieczeństwa: W zasadzie wyłączony (lub Skip).
Captcha / JS Challenge → Skip.
Rate Limiting / Super Bot Fight → Skip.
DNS / proxy.
Upewnić się, że wychodzące żądania-klienci (cURL z PHP) omijają Cloudflare.
Jeśli API-hosty są wewnątrz naszej domeny, ustaw im „szare chmurki” (Direct DNS).
Pamięć podręczna i optymalizacje.
Rocket Loader, HTML Cache, Auto Minify — wyłączyć na punktach końcowych API, jeśli psują nagłówki/podpisy.
Plan testów (obowiązkowo):
Włączony Under Attack (lub niestandardowe reguły = ten sam poziom ochrony).
Utworzyć testowe zamówienie:
SMS przychodzi.
Sprawdzanie w Checkbox.
Równocześnie — monitoring obciążenia: CPU, RAM, liczba procesów pozostaje w normie.
Brak 4xx / 5xx od Cloudflare w logach podczas pracy API.