套 Cloudflare 如何保护好源 IP 地址？

抛砖引玉：证书会被全网扫 IP 的引擎扫到，所以需要设置默认站点的证书，不能和 cloudflare 解析的域名一样。

1. 因素太多，历史解析、证书等，chatgpt 应该能告诉你更多
2. 我认为官方也不觉得这种操作足够安全 https://blog.cloudflare.com/cloudflare-aegis/

分享下我用于 vaultwarden 的免费方案供参考和指正：

AWS EC2 和国外一些 VPS 会给你默认分配一个 public dns ，相当于一个域名，这是公开不可隐藏的；
配置 AWS 的防火墙、EC2 自身的 iptables 、Nginx ，仅允许 cloudflare ips ；
在 Cloudflare workers 里中转请求到 public dns ，并且在 worker 里给这个请求添加一个秘密的 header ；
Cloudflare 上在 page rules 将一个无法爆破的路径设定到这个 worker ；
EC2 上 Nginx 用这个 header 鉴权通过，请求才会 proxy pass 到 vaultwarden ；
Nginx 除了鉴权通过，别的都伪造成 404 之类的相同响应防止猜测。

个人觉得这样不需要在 Cloudflare 直接解析到 EC2 ，可以防止各种已知或者未知的 bypass 方式，并且也不像 cloudflared tunnel 那样依赖 VPS 的稳定性。

端口全关，用 cloudflare tunnel 映射出去 （手动狗头

干脆不要 IPv4 了，来个随机的 IPv6 ，看谁能全网扫到。此外需要注意机器不要去请求别人的 API 啥的，不然也会暴露 IP

@Lentin #4

手动狗头是什么意思？我目前就这么用的，暂时没发现有什么问题

@hronro 遇到过一个问题，在机子上部署了 GitLab/ES/Runner 三大件，每当 Runner 起多了，cloudflared 就……，日志显示网络断开，得调整它的调度优先级才能解决这个问题

感谢上方大佬的建议，我试用了一下 Cloudflare Tunnel 隧道，似乎不太适合我。

因为我是通过 CNAME 接入 SaaS 的，所以在设置零信任的 Cloudflare Tunnel 隧道时，查询不到我的域名。

目前我只能通过四层防火墙来给 Cloudflare ips 设置白名单的方式。

我之前套 cf 也被 CC 了，都不知道是怎么看到我 IP 的，现在想起来可能是解析历史记录。

最好的方法是，服务器防火墙开白名单，只允许 cf 的 ip 段
cf 的 ip 段他们自己有维护一个列表