最近发现 Cloud Flare 节点 近乎于无敌般的存在。

@indust 那都是 故事 哈哈


@xuhaoyangx 所有 IP ？


@pierrec 依然是故事 哈哈

@Xname zmap ，（据说）能在 1 小时内扫全网

@Xname v 站 heike 好多。

@Xname 楼下已经说的差不多了，扫描全网的 ip ，分析头部信息，是分析的的到的。

可以先用 zoomeye.org 看看能不能碰运气。

要不为什么好多国外擦边站(PT 站、擦边组织如 hackforums 、甚至 TPB)都用 CF 呢…

@popu111 @xuhaoyangx 那还是用 IPv6 是不是就能杜绝被扫到的危险了？主机完全禁用外部 IPv4 访问， IPv6 每一位都不是 0 而是随机的 16 进制的话。用 CF 绑定 IPv6 ，不影响 IPv4 访问。

https://www.cloudflare.com/abuse/form

CloudFlare is a pass through network that caches content for a limited time only. We do not provide hosting services for any website. CloudFlare will notify the site owner and, where appropriate, the web hosting provider for the site in question.

差不多就是 @UnisandK 说的 “我们只是 CDN 你要找找他们机房去”，免费版没准就把 IP 给了。

@ZE3kr 那还不如上个白名单阻止 cf 之外的访问

@ZE3kr 66666666

@popu111 在路由器上设置的话，只允许 CF 的 IP 会不方便自己 ssh 什么的吧，何况自己的 IP 还是会变的。哦对了，前提是自己要有 IPv6 网络。

@ZE3kr 在路由器上设置等同于在硬件防御装置 /防火墙上设置

@ZE3kr CF 有提供 IPTABLES 方案，只允许 443 和 80 端口访问。 https://support.cloudflare.com/hc/en-us/articles/200169166-How-do-I-whitelist-CloudFlare-s-IP-addresses-in-iptables-

@ZE3kr 只允许 CF 的 ip 访问 80 和 443 端口，其他端口不受限制。

@kamin 这个我知道，但是如果是在操作系统上设置效率不会很高，很多 VPS 也不给提供防火墙功能，如果可以还是在防火墙上配置端口和 IP 段限制，但是终究都是基于 3 层或以上的层级防御，还是能专门针对你的服务器搞。

但是如果能有 IPv6 ，比如被分配到的是一个 /64 的 IPv6 ，那么 IP 之后的很多位就可以随机设置（/64 约有 2^64 种可能），应该极难被探测到， IP 都不能知道，相当于就是直接在第二层做防御，除非把你的服务商整个搞掉，或者把 CF 搞掉才有效果，所以这样做肯定是最强力有效的。