为啥套CF漏源-kldeam

RT:
套cf漏源IP 咋隐藏

热议
推荐楼 G.K.D 昨天17:23

我找了下我以前回复过别人避免暴漏源站 IP 的内容，你可以参考下：

1. 套 CDN 之前不要解析为源站 IP。
2. 套 CDN 后，源站防火墙设置为仅允许 Cloudflare CDN IP 访问。
3. 源服务器记得自签一个 IP 的 SSL 证书绑定到 IP 虚拟主机上（或者 1.19.4 以上的使用 ssl_reject_handshake），并配置 return 444 来避免扫到证书。
4. 注意避免通过网站的邮件通知暴露源站 IP。

推荐楼 whl32 昨天16:17

我自己ping出来的

你自己ping出来，cf那边解析那个小云亮起来了没有

推荐楼 breakmyheart 昨天16:12

还是漏源哦

你用哪个网站看的 censys这种的要等一段时间的

2楼 xihuheyi 昨天14:55

换ip

3楼 kldeam 昨天14:55

xihuheyi 发表于 2022-9-16 14:55
换ip

啥意思？？

4楼 squ33ker 昨天15:01

源站防火墙设置一下入站规则，只允许cf的IP访问

https://www.cloudflare.com/ips/

5楼 kldeam 昨天15:11

squ33ker 发表于 2022-9-16 15:01
源站防火墙设置一下入站规则，只允许cf的IP访问

这样就可以了嘛

6楼 breakmyheart 昨天15:40

iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

ip6tables -I INPUT -p tcp --dport 80 -j DROP
ip6tables -I INPUT -p tcp --dport 443 -j DROP
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

7楼 本人马保国 昨天15:43

会不会是你之前解析的是真实IP
被人查了历史解析？

8楼 kldeam 昨天15:57

本人马保国 发表于 2022-9-16 15:43
会不会是你之前解析的是真实IP
被人查了历史解析？

我自己ping出来的

9楼 kldeam 昨天16:05

breakmyheart 发表于 2022-9-16 15:40
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP
for i in `c ...

还是漏源哦

12楼 kldeam 昨天16:20

breakmyheart 发表于 2022-9-16 16:12
你用哪个网站看的 censys这种的要等一段时间的

it狗和chinaz

13楼 breakmyheart 昨天16:23

it狗和chinaz

没遇到过这种问题 可能只是你忘记开小云朵

14楼 kldeam 昨天16:38

whl32 发表于 2022-9-16 16:17
你自己ping出来，cf那边解析那个小云亮起来了没有

肯定开了 现在有2个cf的ip和我源ip

15楼 kldeam 昨天16:43

breakmyheart 发表于 2022-9-16 16:23
没遇到过这种问题 可能只是你忘记开小云朵

用ip狗看只有国内的节点测出源 国外的全部走cf

16楼 G.K.D 昨天16:48

只要你曾经解析过真实 IP，或暴漏过 IP，那么你只能换 IP 了，再去干什么也无法保护已经泄露的 IP 了。

17楼 kldeam 昨天16:49

G.K.D 发表于 2022-9-16 16:48
只要你曾经解析过真实 IP，或暴漏过 IP，那么你只能换 IP 了，再去干什么也无法保护已经泄露的 IP 了。 ...

我自己ping出来的 不是别人知道我源

18楼 kldeam 昨天16:57

顶一下 为啥会漏源ip

19楼 本人马保国 昨天17:03

顶一下 为啥会漏源ip

发解析和CF配置截图

20楼 zerone110 昨天17:06

别用泛域名，自签域名

/**
* 活着的意义从哪儿来？
* 找啊，活下去的理由
* 不断颠覆，不断否定
* 没有一个一劳永逸的理由的
*
* Link https://greasyfork.org/zh-CN/scripts/396933-hostloc-zsbd
*/

22楼 G.K.D 昨天17:23

我找了下我以前回复过别人避免暴漏源站 IP 的内容，你可以参考下：

1. 套 CDN 之前不要解析为源站 IP。
2. 套 CDN 后，源站防火墙设置为仅允许 Cloudflare CDN IP 访问。
3. 源服务器记得自签一个 IP 的 SSL 证书绑定到 IP 虚拟主机上（或者 1.19.4 以上的使用 ssl_reject_handshake），并配置 return 444 来避免扫到证书。
4. 注意避免通过网站的邮件通知暴露源站 IP。

23楼 kldeam 昨天18:18

zerone110 发表于 2022-9-16 17:06
别用泛域名，自签域名

没有泛解析

24楼 kldeam 昨天19:52

顶一下 为啥

25楼 绿岛小夜曲 昨天19:55

用苏菲

26楼 kldeam 昨天19:57

绿岛小夜曲 发表于 2022-9-16 19:55
用苏菲

正漏 不是侧漏

27楼 kldeam 昨天20:15

RT 求助

28楼 Salta 昨天21:11

我找了下我以前回复过别人避免暴漏源站 IP 的内容，你可以参考下：

1. 套 CDN 之前不要解析为源站 IP。

其他的我都懂，第三条，能解释下吗，或者有更细节的文章查阅一下资料么，我想看看什么原理

附：已经了解了，不用解释了，原来是IP访问443端口 默认没有SSL证书会查到有SSL证书的站点 从而通过SSL证书的颁发给那个域名找到此源站，嗦嘎！

29楼 kldeam 3小时前

已经成功解决了 真恶心 记录源ip 换个ip就不漏了 真好

30楼 mjjok 半小时前

我找了下我以前回复过别人避免暴漏源站 IP 的内容，你可以参考下：

1. 套 CDN 之前不要解析为源站 IP。

2. 套 CDN 后，源站防火墙设置为仅允许 Cloudflare CDN IP 访问。

关于这点，我觉得还需要加上一些常用的搜索引擎蜘蛛ip放行。

CF如果给搜索引擎回源，搜索引擎打不开你的站了，岂不是挂壁了。。。

申明：本文内容由网友收集分享，仅供学习参考使用。如文中内容侵犯到您的利益，请在文章下方留言，本站会第一时间进行处理。