这是一个创建于 270 天前的主题,其中的信息可能已经有所发展或是发生改变。
之前我听说 ipv4 的证书会露真实 IP ,就算套了 CF 也会被打到。然后搜索的时候感觉很多 CF 教程好像都没有提到这一点,很害怕。看了几眼 CF 的官方文档好像也没提这一点。也可能是某些教程解决了那一点,但是我没识别出来。还有就是不知道还有没有其他的套了 CF 依旧可能被打到的因素我不知道。所以总是信不过自己的判断。
也许我没必要考虑这么多?等被打了再说?但是一想到那些麻烦事我就想尽量在事情发生之前把它尽量避免掉,比如封禁服务器,IP 黑洞之类的。
或者这种东西可能没人愿意分享?毕竟可能会为技术不行的攻击者提供思路?
12 条回复 2025-03-22 19:56:45 +08:00
 | 1 gentrydeng 270 天前 via Android  1 “ipv4 的证书会泄露真实 IP ” 跟 IPv4 还是 IPv6 无关,本质上是因为 HTTP 服务器默认监听并允许所有传入连接导致的。 设置个默认服务器,默认阻断连接即可。 可参考: https://blog.dianduidian.com/post/%E5%88%AB%E5%BF%98%E4%BA%86%E7%BB%99nginx%E9%85%8D%E7%BD%AE%E9%BB%98%E8%AE%A4ssl%E8%AF%81%E4%B9%A6%E9%81%BF%E5%85%8D%E6%BA%90%E7%AB%99ip%E8%A2%AB%E6%9A%B4%E9%9C%B2/ |
 | 2 xjzshttps 270 天前 1 最好找下 CDN 提供的 ip 段,http 服务限制只允许 CDN 的 ip 段访问。或者用 CF 的隧道。 因为真的有人会扫描整个 ipv4 地址去尝试找到你的源站。 另外注意发信、http 是否会对外访问,这些都要注意可能泄露。 |
 | 3 Shorekeeper 270 天前 1 Cloudflare 源证书是 Cloudflare 颁发的免费 TLS 证书,可以安装在源服务器上,以方便使用 HTTPS 的访问者进行端到端加密。 https://developers.cloudflare.com/ssl/origin-configuration/origin-ca/ |
 | 4 totoro625 270 天前 1 补充一个方式,使用 Cloudflare Argo Tunnel(cloudflared) 源站只保留一个 SSH 端口供你管理,所有端口全部关闭 |
 | 5 haisua 270 天前 1 有两个思路,1 是常规建站+CF 代理,但额外做个措施,只允许 CF 的 IP 范围访问自己的源服务器(白名单机制之类的); 2 另一个思路是,服务器所有流量都经过 CF Tunnel ,也就是连 80 和 443 这些常规端口都可以关闭,理论上更安全 |
| 6 haisua 270 天前 1 不知道您的服务器用来搭建啥程序,如果是常规 web 网站,其实教程很多,只是说侧重点不同,有的人手搓代码,用的人用类似宝塔/1Panel 这种面板搞。 可以用以下关键字搜索,有很多参考的: wordpress cloudflare 白名单 CloudFlare Argo Tunnel 建站 VPS SSH 端口 80 443 |
 | 7 yinmin 270 天前 via iPhone 1 cloudflare cdn 的 ip 地址: https://www.cloudflare.com/zh-cn/ips/ 网站加 ip 地址白名单即可。如果怕被打,加入到防火墙 iptables 效果更好。 |
 | 8 lifei6671 270 天前 1 @gentrydeng 我的服务器上安装的是 caddy 。 |
 | 9 est 270 天前 1 你用 cloudflare argo 跑反代就行。主机不要监听公网端口。 |
 | 10 digimoon 270 天前 1 防火墙上设置 80 443 端口的源 ip 只允许 cf 的 ip 段就行了吧 |
 | 11 gam2046 270 天前 2 可以一步到位,cloudflare tunnel 就行,不需要服务端开放任何端口。耶稣也打不了你。 |
 | 12 MHPSY 269 天前 1 直接域名解析过去,然后用 cf 给的 15 年有效期自签证书,全部域名都通过这个证书的 ssl 让 cf 代理。 最后记着给 cf 的规则改成严格(好像叫这个,忘记了,反正就是源站跟 cf 只使用 ttps) 用这一套都最省事,我好几个站再用。 |
Select Language