域名套的 CF,后端已经配置了 nginx 防火墙,怎么不被扫到源站 IP 造成泄露呢?
请教下大佬
1
daimaosix 350 天前
套了 CF ,通过查询域名的历史解析 IP 可以查到,如果裸奔的时间短可能不会查到,但是一般扫会扫 IP 段,禁止通过 IP 访问 nginx ,彻底不让源站 IP 泄露不太行
|
2
lichao 350 天前
源站防火墙开启 ip 白名单,白名单只包括 cf 的 ip
|
3
leaflxh 350 天前
server {
listen 80 default_server; listen [::]:80 default_server; server_name _; location / { return 444; } } server { #sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt listen 443 ssl default_server; listen [::]:443 ssl default_server; server_name _; ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt; ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key; location / { return 444; } } server { listen 80; server_name example.com 1.example.com 2.example.com; return 301 https://$host$request_uri; } |
6
XiLingHost 350 天前
https://www.cloudflare.com/zh-cn/ips/
除了这几个段的 IP ,其他全部 drop 掉就行了 |
7
drupal 350 天前
套 CF ,关闭 ICMP 。
|
8
leaflxh 350 天前
最好还是直接防火墙只允许 cf 的 IP 入站
|
9
MFWT 350 天前
nginx 对于 80 返回 444 (直接切断连接),443 选择 ssl_reject_handshake
IP 白名单,只允许 CF 的 IP 访问 感觉不放心的话可以配合 CF 的 Argo Tunnel 使用,直接不暴露端口到公网 |
10
secpool 350 天前
现在每天全球扫描的机器多的很,会扫整个公网网段的
|
11
kujou 350 天前
天天被扫,习惯就好。
|
12
asm 350 天前
怎么可能不会被扫描到,每天几万家安全公司的扫描器(还不带恶意代码扫描),怎么会错过。
现在好多 cloudflare 的 ip ,我扫后,端口全开,可都是假的,也就是啥都没扫出来。可以套用一下。 |
13
daisyfloor 350 天前
以 Caddy 为例
你可以使用以下的方法: 在你的 Caddyfile 中,添加一个 trusted_proxies 的选项,把 cloudflare 的 ip 段都列出来,例如: { trusted_proxies 103.21.244.0/22 103.22.200.0/22 103.31.4.0/22 104.16.0.0/13 104.24.0.0/14 108.162.192.0/18 131.0.72.0/22 141.101.64.0/18 162.158.0.0/15 172.64.0.0/13 173.245.48.0/20 188.114.96.0/20 190.93.240.0/20 197.234.240.0/22 198.41.128.0/17 } 然后,在你的网站的配置中,使用 remote_ip 匹配器,来检查请求的 ip 是否在 trusted_proxies 中,如果不在,就返回 403 错误,例如: example.com { @not_cloudflare { not remote_ip trusted_proxies } respond @not_cloudflare 403 # 其他正常的配置 } 这样,你就可以实现你想要的功能。 |
14
renfei 350 天前
防火墙上关闭全部端口,使用 cloudflare tunnel 接入 cf
|
15
Mulch1406 350 天前
同问国内主机的解决方案
|
16
cdlnls 350 天前
云服务商的安全组里面设置个白名单,只允许 cf 的 IP 段访问。就算泄漏也不怕。
|
17
gam2046 350 天前 1
cloudflare tunnel 即可解决,无需开端口。
除非 cloudflare 内鬼,不然就是耶稣来了也白扯。 我现在就都是这么搞的,最主要还省事,配置证书啥的都省了。 |
18
expy 350 天前
dns 历史记录,直接扫 ip 段搜索网站内容,扫 ip 段检查证书对应的域名。
|
19
LnTrx 350 天前
禁止 IPv4 入站,纯 IPv6 入站,且不出现在任何解析中
|
20
cnhongwei 350 天前
不开 80 端口,只开 443 。
|
21
cnhongwei 350 天前
不开 80 端口,只开 443 。
nginx 默认站点设置如下: server { listen 443 ssl default_server; ssl_reject_handshake on; } 这样防止取 ssl 证书判断你的域名。正式站点可以过滤 ip ,可以设置 cloudflare 客户端证书验证。这样扫描到你的服务器时候,没有办法探测你的域名,所以也就没有办法来搞你,如果通过 ssl 证书已经把你的 ip 和域名对应了,只能换个 ip 。 |
22
chocotan 350 天前
先和 cf 要托管提供商,然后扫这个提供商的所有 ip ,80 、443 端口能通就说明在这个 ip 上
我有几个网站就是被这么投诉的,然后被服务器提供商要求整改 |
23
yianing 350 天前
tunnel, 不开端口扫到了也没用
|