求一套能尽量避免 DDoS 攻击的 CloudFlare 和服务器配置教程(自己试着找过了,总是不信任自己)
shendaowu · 10 小时 20 分钟前 · 727 次点击之前我听说 ipv4 的证书会泄露真实 IP ,就算套了 CF 也会被打到。然后搜索的时候感觉很多 CF 教程好像都没有提到这一点,很害怕。看了几眼 CF 的官方文档好像也没提这一点。也可能是某些教程解决了那一点,但是我没识别出来。还有就是不知道还有没有其他的套了 CF 依旧可能被打到的因素我不知道。所以总是信不过自己的判断。
也许我没必要考虑这么多?等被打了再说?但是一想到那些麻烦事我就想尽量在事情发生之前把它尽量避免掉,比如封禁服务器,IP 黑洞之类的。
或者这种东西可能没人愿意分享?毕竟可能会为技术不行的攻击者提供思路?
11 条回复 • 2025-03-22 12:17:02 +08:00
 |
1
gentrydeng 10 小时 9 分钟前 via Android  1
“ipv4 的证书会泄露真实 IP ”
跟 IPv4 还是 IPv6 无关,本质上是因为 HTTP 服务器默认监听并允许所有传入连接导致的。 设置个默认服务器,默认阻断连接即可。 可参考: https://blog.dianduidian.com/post/%E5%88%AB%E5%BF%98%E4%BA%86%E7%BB%99nginx%E9%85%8D%E7%BD%AE%E9%BB%98%E8%AE%A4ssl%E8%AF%81%E4%B9%A6%E9%81%BF%E5%85%8D%E6%BA%90%E7%AB%99ip%E8%A2%AB%E6%9A%B4%E9%9C%B2/ |
 |
2
xjzshttps 9 小时 56 分钟前 1
最好找下 CDN 提供的 ip 段,http 服务限制只允许 CDN 的 ip 段访问。或者用 CF 的隧道。
因为真的有人会扫描整个 ipv4 地址去尝试找到你的源站。 另外注意发信、http 是否会对外访问,这些都要注意可能泄露。 |
 |
3
SunsetShimmer 9 小时 55 分钟前 1
Cloudflare 源证书是 Cloudflare 颁发的免费 TLS 证书,可以安装在源服务器上,以方便使用 HTTPS 的访问者进行端到端加密。
https://developers.cloudflare.com/ssl/origin-configuration/origin-ca/ |
 |
4
totoro625 9 小时 19 分钟前 1
补充一个方式,使用 Cloudflare Argo Tunnel(cloudflared)
源站只保留一个 SSH 端口供你管理,所有端口全部关闭 |
 |
5
haisua 8 小时 34 分钟前 1
有两个思路,1 是常规建站+CF 代理,但额外做个措施,只允许 CF 的 IP 范围访问自己的源服务器(白名单机制之类的); 2 另一个思路是,服务器所有流量都经过 CF Tunnel ,也就是连 80 和 443 这些常规端口都可以关闭,理论上更安全
|
|
6
haisua 8 小时 25 分钟前 1
不知道您的服务器用来搭建啥程序,如果是常规 web 网站,其实教程很多,只是说侧重点不同,有的人手搓代码,用的人用类似宝塔/1Panel 这种面板搞。
可以用以下关键字搜索,有很多参考的: wordpress cloudflare 白名单 CloudFlare Argo Tunnel 建站 VPS SSH 端口 80 443 |
 |
7
yinmin 8 小时 11 分钟前 via iPhone 1
cloudflare cdn 的 ip 地址: https://www.cloudflare.com/zh-cn/ips/
网站加 ip 地址白名单即可。如果怕被打,加入到防火墙 iptables 效果更好。 |
 |
8
lifei6671 7 小时 49 分钟前 1
@gentrydeng 我的服务器上安装的是 caddy 。
|
 |
9
est 7 小时 35 分钟前 1
你用 cloudflare argo 跑反代就行。主机不要监听公网端口。
|
 |
10
digimoon 7 小时 28 分钟前 1
防火墙上设置 80 443 端口的源 ip 只允许 cf 的 ip 段就行了吧
|
 |
11
gam2046 7 小时 20 分钟前 2
可以一步到位,cloudflare tunnel 就行,不需要服务端开放任何端口。耶稣也打不了你。
|
Select Language