Найти, что режет Cloudflare.
Логи WAF/Firewall: какие правила срабатывают при вызовах API SMS Fly и Checkbox (коды 403 / 1020 / JS-Challenge).
Проверить, не блочит ли Managed Challenge, Bot Fight, Super Bot Fight и т. д.
Настроить точечные исключения, не ослабляя общий щит.
Firewall Rule (allow) по IP-диапазонам и ASN SMS Fly / Checkbox ИЛИ
Firewall Rule (allow) по URI-паттернам, например:
lua
(http.request.uri.path contains "/api/smsfly")
or (http.request.uri.path contains "/api/checkbox")
Для исключённых путей выставить:
Security Level: Essentially Off (или Skip).
Captcha / JS Challenge → Skip.
Rate Limiting / Super Bot Fight → Skip.
DNS / проксирование.
Убедиться, что исходящие запросы–клиенты (cURL из PHP) идут мимо Cloudflare.
Если API-хосты внутри нашего домена, поставьте им «серое облачко» (Direct DNS).
Кэш и оптимизации.
Rocket Loader, HTML Cache, Auto Minify — выключить на API-эндпойнтах, если они ломают заголовки/подписи.
Тест-план (обязательно):
Включён Under Attack (или кастомные правила = тот же уровень защиты).
Создать тестовый заказ:
SMS приходит.
Чек пробивается в Checkbox.
Параллельно — нагрузочный мониторинг: CPU, RAM, кол-во процессов остаются в рамках нормы.
Нет 4xx / 5xx от Cloudflare в логах при работе API.