用iptables设置只cloudflare可访问时，是否要设置ipv6的？

micto · 发表于 2020-9-22 22:20:57

用iptables设置只cloudflare可访问时，是否要设置ipv6的？
譬如搬瓦工的vps，还有设置ipv6的必要嘛。
自己的IP只做了IPv4的解析，CF是否会使用IPv6来进行回源呢？

Red-Black-Tree · 发表于 2020-9-22 22:27:09

#!/bin/bash
# 禁止来自IPv4的所有HTTP/S访问请求
iptables -I INPUT -p tcp --dport 80 -j DROP
iptables -I INPUT -p tcp --dport 443 -j DROP
# 对Cloudflare CDN IPv4地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done
# 禁止来自IPv6的所有HTTP/S访问请求
ip6tables -I INPUT -p tcp --dport 80 -j DROP
ip6tables -I INPUT -p tcp --dport 443 -j DROP
# 对Cloudflare CDN IPv6地址开放HTTP/S入站访问
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done
# 保存iptables配置
iptables-save
ip6tables-save
# 注意：80/443为默认HTTP/S协议通讯使用端口，若实际应用有使用非80/443端口进行，请依葫芦画瓢自行修改脚本
# Ubuntu系统可以使用UFW则类似：for i in `curl https://www.cloudflare.com/ips-v4`; do ufw allow proto tcp from $i to any port 80; done
# 基于Linux系统兼容性考虑脚本使用iptables配置系统防火墙，请自行根据各自系统、防火墙不同做相应配置调整实施

复制代码

哥们 · 发表于 2020-9-22 22:22:51

nginx里添加conf文件规范回源，直接添加IPv4/6的段就行。

micto · 发表于 2020-9-22 22:23:52

哥们发表于 2020-9-22 22:22
nginx里添加conf文件规范回源，直接添加IPv4/6的段就行。

试过了，还发了一个帖子的，感觉没有通过iptables彻底。。

柒焰 · 发表于 2020-9-22 22:27:27

鸡鸡有v6就加呗，好像是ip6tables，不过v6直接开端口也没问题，扫v6的比较少吧

micto · 发表于 2020-9-22 23:02:56

柒焰发表于 2020-9-22 22:27
鸡鸡有v6就加呗，好像是ip6tables，不过v6直接开端口也没问题，扫v6的比较少吧 ...

搬瓦工的只有ipv4，其实我想确认的是，不把cf的ipv6回源地址范围加进去，是否会影响cf回源。
如果不影响的话，那就只加cf的ipv6范围就好。
前几天有个mjj说过，iptables里的规则越多，速度越慢。

micto · 发表于 2020-9-22 23:04:51

Red-Black-Tree 发表于 2020-9-22 22:27

感谢，其实我想确认的是，不把cf的ipv6回源地址范围加进去，是否会影响cf回源。
如果不影响的话，那就只加cf的ipv6范围就好。
前几天有个mjj说过，iptables里的规则越多，速度越慢。

Red-Black-Tree · 发表于 2020-9-23 00:03:28

你服务端没有ipv6地址当然不用添加ipv6的规则了

嗷嗷 · 发表于 2020-9-23 00:06:41

micto 发表于 2020-9-22 23:02
搬瓦工的只有ipv4，其实我想确认的是，不把cf的ipv6回源地址范围加进去，是否会影响cf回源。
如果 ...

你没有V6的话，CF想回也没得回啊。总不能你填了个不存在的V6给CF吧

		自动登录	找回密码
密码			注册

[Windows VPS] 用iptables设置只cloudflare可访问时，是否要设置ipv6的？