怎么彻底隐藏源站 IP,不被扫到?

查看 69|回复 9
作者:takefancy   
域名套的 CF,后端已经配置了 nginx 防火墙,怎么不被扫到源站 IP 造成泄露呢?
请教下大佬

Nginx, 防火墙, 请教, 域名

daimaosix   
套了 CF ,通过查询域名的历史解析 IP 可以查到,如果裸奔的时间短可能不会查到,但是一般扫会扫 IP 段,禁止通过 IP 访问 nginx ,彻底不让源站 IP 泄露不太行
lichao   
源站防火墙开启 ip 白名单,白名单只包括 cf 的 ip
leaflxh   
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
location / {
return 444;
}
}
server {
#sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
server_name _;
ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;
location / {
return 444;
}
}
server {
listen 80;
server_name example.com
1.example.com
2.example.com;
return 301 https://$host$request_uri;
}
dzdh   
https://github.com/cevin/cloudflare-ip-sync
leaflxh   
已经扫到了没办法的,比如 censys.io 这种傻逼
换 IP ,或者等他一段时间扫描不到无法被主动搜索到
XiLingHost   
https://www.cloudflare.com/zh-cn/ips/
除了这几个段的 IP ,其他全部 drop 掉就行了
drupal   
套 CF ,关闭 ICMP 。
leaflxh   
最好还是直接防火墙只允许 cf 的 IP 入站
MFWT   
nginx 对于 80 返回 444 (直接切断连接),443 选择 ssl_reject_handshake
IP 白名单,只允许 CF 的 IP 访问
感觉不放心的话可以配合 CF 的 Argo Tunnel 使用,直接不暴露端口到公网
您需要登录后才可以回帖 登录 | 立即注册

返回顶部