这是一个创建于 418 天前的主题,其中的信息可能已经有所发展或是发生改变。
搞了个家用小破服务器,绑定了域名又不想暴露 ip 怕被攻击
听说 cloudflare 可以用来隐藏 ip ,我域名已经给 cf 代理虽然 ping 时是 cf 的 ip 但是一些网站比如 https://tool.lu/ip/
输入域名还是能查到原始 ip
请问是怎么回事,需要什么特殊操作吗
听说 cloudflare 可以用来隐藏 ip ,我域名已经给 cf 代理虽然 ping 时是 cf 的 ip 但是一些网站比如 https://tool.lu/ip/
输入域名还是能查到原始 ip
请问是怎么回事,需要什么特殊操作吗
16 条回复 • 2023-09-17 00:50:17 +08:00
 |
1
totoro625 2023-09-15 23:09:31 +08:00  1
DNS 延迟,域名从添加的时候就要点开小云朵
|
 |
2
jlak OP @totoro625 现在一查 ip 已经变成 cf 的 ip 了,是不是可以放心用了?我暴露了 80 和 443 端口
|
 |
3
ruixue 2023-09-15 23:12:37 +08:00 5
你如果需要 cloudflare 隐藏 ip ,从一开始就不要解析 dns 到真实的 ip 上,有专门做 dns 历史查询的,发邮件也不要直接用服务器发,避免 smtp 泄露真实 ip
进一步的话就是不要把网站的 ssl 证书作为默认 ssl 证书,也就是说传递空 sni 给 443 端口时要返回其他证书,现在也有扫全网 443 端口的 ssl 证书抓里面域名提供反向查询的 更进一步就是用防火墙屏蔽除了 cloudflare 以外的 ip 的访问,避免精确的带 sni 全网扫描的攻击 |
 |
4
bigbbhh 2023-09-15 23:17:36 +08:00 1
建议源站防火墙屏蔽 443 80 端口进入,外加 cloudflare tunnel ,丝滑~
|
 |
5
eDeeraiD0thei6Oh 2023-09-15 23:22:54 +08:00
别人想知道你的真实 IP 很简单,发个 DMCA 的邮件给 Cloudflare 你的 IP 就被别人知道了。
|
|
6
jlak OP |
|
7
ruixue 2023-09-15 23:35:14 +08:00
@eDeeraiD0thei6Oh 并不会,首先 cloudflare 会审查 dmca 投诉里涉及到的链接和证据,并不是随便杜撰一封就 ok ,其次 cloudflare 只会告知投诉者托管服务器的主机商,并转发 dmca 投诉给主机商和用户,要求主机商和用户去处理,并不会直接把服务器的 ip 给投诉者
|
|
8
ruixue 2023-09-15 23:41:04 +08:00 1
@jlak cloudflare 网站上有列出他家用的全部 ip 段
https://www.cloudflare.com/ips/ 防火墙里设置只允许这些 ip 访问 80 和 443 ,其余 ip 直接拒绝就行了 还有一个方法是只用 ipv6 回源,设置一个复杂点的 ipv6 后缀,几乎不可能被扫到 |
 |
9
mschultz 2023-09-16 00:00:33 +08:00 3
@jlak #6 你的服务器上跑什么服务?如果是一般的网站( HTTP/HTTPS ),那么用 Cloudflare ZeroTrust 的 Tunnel (就是 4 楼梯道的 tunnel ),要点如下:
0. 假设你服务器上的一个 Web 程序,比方说 Nginx ,监听服务器的 127.0.0.1:80 端口 1. 在 Cloudflare Zero Trust 的面板 - Access - Tunnels 中设置 Tunnel ,跟着向导和文档来,它会让你在服务器上安装一个 cloudflared 程序( connector ),一般是用 systemd 管理的。安装并认证好了之后,相当于你服务器上就有一个长期运行的 Cloudflare connector 一直主动保持与 Cloudflare 的通信(由于是这个通信是主动出站,不需要你服务器防火墙开放任何入站规则)。 2. 然后,回到 Cloudflare 网页版的 Tunnel 设置页面,设置「 Public Hostname 」,基本上就是设置一个域名到 IP:端口的映射,例如你设置 a.yourdomain.com -> 127.0.0.1:80 那么大致效果就是(下面的用词可能不专业,领会下精神😂): a. a.yourdomain.com 解析出来是 Cloudflare 的地址 b. 当有人访问 a.yourdomain.com 时,Cloudflare 发现这是一个 Tunnel 里面配置的 Hostname ,于是将请求导向对应的 connector 所在机器的 127.0.0.1:80 ,正好就是你服务器上 Nginx 监听的那个端口 ==== 以上就实现了你服务器防火墙不开放任何入站端口(自己用于 SSH 啥的除外),但能通过 Cloudflare Tunnel 正常对外开放网页服务。 |
|
10
jlak OP @ruixue 谢谢我先设置防火墙白名单先看看,说到 ipv6 这里我突然想到好像买 vps 不用买 ipv4 了,反正 v4 要藏起来,用 cf 依然能让 ipv4 用户访问
|
|
11
jlak OP |
|
12
ruixue 2023-09-16 00:25:48 +08:00 1
@jlak 你的网络如果能用 ipv6 ,那么以你目前的使用场景 vps 确实可以不要 ipv4 ,至于没有 ipv4 导致 vps 无法访问部分网站的问题也可以用 cloudflare 的另一项服务 warp 解决
其他人说的 tunnel 是在对安全有极高需求的情况下考虑的,可以做到不开放任何端口,但也等于放弃了公网 ip 本身的优势,毕竟 tunnel 也相当于是一种内网穿透,服务器主动维持一个到 cloudflare 的连接,无需公网 ip 即可对外提供服务 |
 |
14
JensenQian 2023-09-16 04:01:23 +08:00 via Android
cf tunnel 内网穿透呗,我家里没公网就这么玩
|
 |
15
Tufutogo 2023-09-16 20:17:43 +08:00 via Android
cf tunnel 到内地机器,基本是绕美一圈回来。不在乎延迟的服务倒是没什么关系。
|
 |
16
hanguofu 2023-09-17 00:50:17 +08:00 via Android
这个方法挺好 😊
|
Select Language