希望用户只能通过 Cloudflare CDN 访问站，你们怎么配置 Nginx 的？

那你看看 nginx 的日志，这个请求是从哪儿来的

```shell
#!/bin/sh
set -o pipefail

export _ipv4Range=`curl --retry 10 --retry-delay 5 -s https://www.cloudflare-cn.com/ips-v4`
if [[ $? -ne 0 ]]; then
export _ipv4Range=`curl --retry 10 --retry-delay 5 -s https://www.cloudflare.com/ips-v4`
if [[ $? -ne 0 ]]; then
exit 1
fi
fi

export _ipv6Range=`curl --retry 10 --retry-delay 5 -s https://www.cloudflare-cn.com/ips-v6`
if [[ $? -ne 0 ]]; then
export _ipv6Range=`curl --retry 10 --retry-delay 5 -s https://www.cloudflare.com/ips-v6`
if [[ $? -ne 0 ]]; then
exit 1
fi
fi

#nginx real_ip
_tmpCOnf="/tmp/._$(date '+%Y-%m-%d-%H-%M')-$(cat /proc/sys/kernel/random/uuid).txt"
_target='/etc/nginx/conf.d/common/cloudflare/_real_ip_from-ip-set.conf'
{
echo "# Generated by ${0}"
echo "# At $(date)"
echo "# IPV4"
for i in ${_ipv4Range} ;do echo "set_real_ip_from ${i};" ;done
echo ""
echo "# IPV6"
for i in ${_ipv6Range} ;do echo "set_real_ip_from ${i};" ;done
echo ""
} |tee ${_tmpConf}
if [[ $? -eq 0 ]]; then
mv "${_tmpConf}" "${_target}"

nginx -t
if [[ $? -eq 0 ]]; then
echo "Nginx 配置正常，重载配置！"
nginx -s reload
else
/app/scripts/bin/gotify.sh --title "${_target} 文件更新成功，但 Nginx 配置有误" "请修复后手动重载 Nginx ！\n""nginx -s reload"
fi
fi

#nginx allow-ip-set
#sleep 1
_tmpCOnf="/tmp/._$(date '+%Y-%m-%d-%H-%M')-$(cat /proc/sys/kernel/random/uuid).txt"
_target='/etc/nginx/conf.d/common/cloudflare/_allow-ip-set.conf'
{
echo "# Generated by ${0}"
echo "# At $(date)"
echo "# IPV4"
for i in ${_ipv4Range} ;do echo "allow ${i};" ;done
echo ""
echo "# IPV6"
for i in ${_ipv6Range} ;do echo "allow ${i};" ;done
echo ""
} |tee ${_tmpConf}
if [[ $? -eq 0 ]]; then
mv "${_tmpConf}" "${_target}"

nginx -t
if [[ $? -eq 0 ]]; then
echo "Nginx 配置正常，重载配置！"
nginx -s reload
else
/app/scripts/bin/gotify.sh --title "${_target} 文件更新成功，但 Nginx 配置有误" "请修复后手动重载 Nginx ！\n""nginx -s reload"
fi
fi

```

我这边用来更新 allow ip 配置文件的脚本

不能这样设置吧，从 cf 过来的是客户端的 ip 噢
我是设置了一个很长域名，仅给 cf 回源用，不泄露

不理解为什么要这样设置 nginx 。直接设
防火墙 iptable 之类只允许 cf ip 段不就行了。

不是非要返回 403 的话，防火墙开白名单，用 CF 的 Origin 证书开 Full Strict 模式，这样配完后是绝对不能够直接访问源站的。
我的理解是 Nginx 拿到的是客户端的真实 IP ，否则日志里岂不全是 CF 的了，这要怎么溯源？

@zuotun https://nginx.org/en/docs/http/ngx_http_realip_module.html

Ipt 直接 drop 不行吗？

网站只跑在 ipv6 上即可，不在 ipv4 上

直接在防火墙里限制 80 443 端口只允许 Cloudflare CDN 的 IP 访问即可，一直都是这样干的，而且效率更高。

如果你的服务器是有一个路由过去的哪怕/64 块
只要让本站虚拟主机只监听其中一个独立的 ipv6 地址
不要用省略号，自己构造一个块内随机的 ipv6 单播地址

然后 cf 不解析 A 记录，只解析唯一 AAAA 记录只从 ipv6 回源
ipv6 网络下除非你其他方式泄露，根本没人找到的你这个源站
没有扫描 没有探测 也不会有人能直接连上 除了你自己

没必要搞那些 nginx rules 性能极差

@zuotun 这种事还能猜啊？难道不是看看日志吗？

你的域名（ example.com ）如果只解析到了 Cloudflare CDN 的 cname ，你只需要限制默认主机名。

如果有内网访问需求，server_name 需要加上自己的内网主机名或者 ip 。

下面的配置：

server {
listen 80 default_server;
server_name _;
return 444;
}

server {
listen 443 default_server;
server_name _;
ssl_certificate /etc/nginx/ssl/xxx.com.pem;
ssl_certificate_key /etc/nginx/ssl/xxx.com.key;
return 444;
}

我记得 set_real_ip_from 就没法和 allow 一起使用。如果使用了 set_real_ip_from ，ip 会被改成客户端的 IP ，从而导致 allow 看到的 IP 也是客户端的 IP ，然后就会 403 。

所以我都是在 nftable 配置 80 、443 端口只允许 cf 的 ip ，然后 nginx 里配置 set_real_ip_from

Cloudflare Tunnel

那直接用 Cloudflare Tunnel 不是更好（

我的办法简单粗暴，源站简单弄个 key ，没有 key 就 4xx 掉，甚至静态的 key 都可以只要复杂一点。CF 入口弄个 worker 转发请求，带上 key 即可。

你要设置一个没有匹配到域名时候的默认 server ，通过 ip 直接访问，或者 hostname 匹配不到任何 server 的时候用

而且，你应该是直接在防火墙里配置源 ip ，而不是 nginx 里

tls 双向认证

cf tunnel 隧道

CloudFlare tunnel 然后拒绝任何 http ，https 端口访问，tunnel 直接和 CF 链接

或者，用 ufw ，允许 ssh ，只允许 CF ip 段的 http 和 https

sudo ufw allow ssh

# Allow HTTP (port 80) for Cloudflare IPv4 ranges
sudo ufw allow from 173.245.48.0/20 to any port 80
sudo ufw allow from 103.21.244.0/22 to any port 80
sudo ufw allow from 103.22.200.0/22 to any port 80
sudo ufw allow from 103.31.4.0/22 to any port 80
sudo ufw allow from 141.101.64.0/18 to any port 80
sudo ufw allow from 108.162.192.0/18 to any port 80
sudo ufw allow from 190.93.240.0/20 to any port 80
sudo ufw allow from 188.114.96.0/20 to any port 80
sudo ufw allow from 197.234.240.0/22 to any port 80
sudo ufw allow from 198.41.128.0/17 to any port 80
sudo ufw allow from 162.158.0.0/15 to any port 80
sudo ufw allow from 104.16.0.0/12 to any port 80
sudo ufw allow from 172.64.0.0/13 to any port 80
sudo ufw allow from 131.0.72.0/22 to any port 80

# Allow HTTPS (port 443) for Cloudflare IPv4 ranges
sudo ufw allow from 173.245.48.0/20 to any port 443
sudo ufw allow from 103.21.244.0/22 to any port 443
sudo ufw allow from 103.22.200.0/22 to any port 443
sudo ufw allow from 103.31.4.0/22 to any port 443
sudo ufw allow from 141.101.64.0/18 to any port 443
sudo ufw allow from 108.162.192.0/18 to any port 443
sudo ufw allow from 190.93.240.0/20 to any port 443
sudo ufw allow from 188.114.96.0/20 to any port 443
sudo ufw allow from 197.234.240.0/22 to any port 443
sudo ufw allow from 198.41.128.0/17 to any port 443
sudo ufw allow from 162.158.0.0/15 to any port 443
sudo ufw allow from 104.16.0.0/12 to any port 443
sudo ufw allow from 172.64.0.0/13 to any port 443
sudo ufw allow from 131.0.72.0/22 to any port 443

# Allow HTTP (port 80) for Cloudflare IPv6 ranges
sudo ufw allow from 2400:cb00::/32 to any port 80
sudo ufw allow from 2606:4700::/32 to any port 80
sudo ufw allow from 2803:f800::/32 to any port 80
sudo ufw allow from 2405:b500::/32 to any port 80
sudo ufw allow from 2405:8100::/32 to any port 80
sudo ufw allow from 2a06:98c0::/29 to any port 80
sudo ufw allow from 2c0f:f248::/32 to any port 80

# Allow HTTPS (port 443) for Cloudflare IPv6 ranges
sudo ufw allow from 2400:cb00::/32 to any port 443
sudo ufw allow from 2606:4700::/32 to any port 443
sudo ufw allow from 2803:f800::/32 to any port 443
sudo ufw allow from 2405:b500::/32 to any port 443
sudo ufw allow from 2405:8100::/32 to any port 443
sudo ufw allow from 2a06:98c0::/29 to any port 443
sudo ufw allow from 2c0f:f248::/32 to any port 443

sudo ufw deny 80
sudo ufw deny 443

sudo ufw enable

或者 iptables

或者，用你云服务商的防火墙设置，允许 cf 的 ip 段

最新的 cf ip
https://www.cloudflare.com/ips/

大概率是 set_real_ip_from 的问题。刚好我也研究了这个问题。
set_real_ip_from 执行阶段在 allow deny 之前，所以 allow deny 拿到的实际是 set_real_ip_from 处理后的真实客户端 IP ，而不是 CF 的 IP 。
但是，set_real_ip_from 其实会保留原始 IP ，在变量 $realip_remote_addr 中。所以我们可以利用这个变量曲线救国。

先使用 geo 模块，给原始 IP 打标：
geo $realip_remote_addr $is_cf {
default 0;
# Cloudflare IPv4 Allow
173.245.48.0/20 1;
103.21.244.0/22 1;
103.22.200.0/22 1;
103.31.4.0/22 1;
141.101.64.0/18 1;
108.162.192.0/18 1;
190.93.240.0/20 1;
188.114.96.0/20 1;
197.234.240.0/22 1;
198.41.128.0/17 1;
162.158.0.0/15 1;
104.16.0.0/13 1;
104.24.0.0/14 1;
172.64.0.0/13 1;
131.0.72.0/22 1;

# Cloudflare IPv6 Allow
2400:cb00::/32 1;
2606:4700::/32 1;
2803:f800::/32 1;
2405:b500::/32 1;
2405:8100::/32 1;
2a06:98c0::/29 1;
2c0f:f248::/32 1;
}

然后在需要的地方，直接根据标记断连：
if ($is_cf = 0) {
return 444;
}

用 cf 代理了 DNS 后，通过域名访问有可能不走 CDN 吗？我的 Nginx 直接拒绝 IP 直接访问，只允许通过域名访问。这样不知道是否可行。

@Hydrogen404 不可行，可能会被扫描出来。

CF 回源支持 TLS 双向认证，没有客户端证书（只有 CF 有）访问会直接 400 ，再配合 iptables 锁回源 IP ，就很好了

学习了

进入 cloudflare , SSL/TLS 选项 生成 源服务器证书, nginx 关闭 80 端口, 仅开启 ssl 配置专属证书, 拒绝掉证书验证失败的请求就行了

快进到 cf 的 ip 被墙，因为使用 cloudflare 导致用户无法访问

直接通过 ip 访问 nginx 默认站点的 nginx 直接拒绝握手，可以过滤掉很多爬虫和扫描器

除非域名 ip 同时泄露，客户端可以通过 ip:端口 + sni 绑定访问到你的站点
一般泄露的可能性比较小，再加上某个人要专门搞你。

简单一点的就是，cf 我记得是有自签名证书的， 给站点加一个 cf 的自签证书， 拒绝掉 http 的协议请求， 然后开启 http2 和 hsts ，基本就可以了

14 楼正解 Cloudflare Tunnel 即可解决

创建
/www/allow-cloudflare-only.conf
内容
# IPv4
allow 173.245.48.0/20;
allow 103.21.244.0/22;
allow 103.22.200.0/22;
allow 103.31.4.0/22;
allow 141.101.64.0/18;
allow 108.162.192.0/18;
allow 190.93.240.0/20;
allow 188.114.96.0/20;
allow 197.234.240.0/22;
allow 198.41.128.0/17;
allow 162.158.0.0/15;
allow 104.16.0.0/13;
allow 104.24.0.0/14;
allow 172.64.0.0/13;
allow 131.0.72.0/22;
# IPv6
allow 2400:cb00::/32;
allow 2606:4700::/32;
allow 2803:f800::/32;
allow 2405:b500::/32;
allow 2405:8100::/32;
allow 2a06:98c0::/29;
allow 2c0f:f248::/32;

deny all; # deny all remaining ips
在 nginx 引用
include /www/allow-cloudflare-only.conf
这样就不会报 403 了。