VPS做了仅Cloudflare可访问的，IP的范围要变了。

micto

VPS做了仅Cloudflare可访问的，IP的范围要变了。

5月7号前务必修改好

删除的

104.16.0.0/12

新增的

104.16.0.0/13
104.24.0.0/14

micto

Fei 发表于 2021-4-9 10:27
有vps仅做cf可访问教程吗？

参看我之前问的问题，4楼有MJJ @Red-Black-Tree 的回答。

https://www.hostloc.com/thread-746980-1-1.html

1. 
   
2. #!/bin/bash
   
3. # 禁止来自IPv4的所有HTTP/S访问请求
   
4. iptables -I INPUT -p tcp --dport 80 -j DROP
   
5. iptables -I INPUT -p tcp --dport 443 -j DROP
   
6. 
   
7. # 对Cloudflare CDN IPv4地址开放HTTP/S入站访问
   
8. for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
   
9. for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done
   
10. 
    
11. # 禁止来自IPv6的所有HTTP/S访问请求
    
12. ip6tables -I INPUT -p tcp --dport 80 -j DROP
    
13. ip6tables -I INPUT -p tcp --dport 443 -j DROP
    
14. 
    
15. # 对Cloudflare CDN IPv6地址开放HTTP/S入站访问
    
16. for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done
    
17. for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done
    
18. 
    
19. # 保存iptables配置
    
20. iptables-save
    
21. ip6tables-save
    
22. 
    
23. # 注意：80/443为默认HTTP/S协议通讯使用端口，若实际应用有使用非80/443端口进行，请依葫芦画瓢自行修改脚本
    
24. # Ubuntu系统可以使用UFW则类似：for i in `curl https://www.cloudflare.com/ips-v4`; do ufw allow proto tcp from $i to any port 80; done
    
25. # 基于Linux系统兼容性考虑脚本使用iptables配置系统防火墙，请自行根据各自系统、防火墙不同做相应配置调整实施

复制代码

micto

ansheng 发表于 2021-4-9 10:30
nginx做allow deny就行了

我想了一下在Nginx、iptables各自配置的优缺点

在Nginx里使用deny all

实际上还是能访问，只不过能访问到的内容是一个禁止的页面。
也就是说，有人可以通过批量扫描，来扫你的后端VPS在哪里。

优点：可以配置有的网站仅CF可访问，有的网站没这个限制。

在iptables里配置

对于不在列表方位内的IP访问，就像是你这台VPS没开启80/443端口。
缺点：也是优点，只要配置了，整个VPS的网站，都这样了，没法有例外。

micto

h20 发表于 2021-4-9 10:25
庸人自扰　

看不懂的话，说明你没用。

webjin

CC防护码？

ansheng

Fei 发表于 2021-4-9 10:27
有vps仅做cf可访问教程吗？

nginx做allow deny就行了

micto

ansheng 发表于 2021-4-9 10:30
nginx做allow deny就行了

我之前也发帖子问了MJJ，加上自己测试了看，最后选了使用iptables的方式。
使用Nginx配置、iptables配置，各有优缺点。

燕十三丶

mark. cf 经常换 吃不消啊