怎么彻底隐藏源站 IP，不被扫到？

套了 CF ，通过查询域名的历史解析 IP 可以查到，如果裸奔的时间短可能不会查到，但是一般扫会扫 IP 段，禁止通过 IP 访问 nginx ，彻底不让源站 IP 泄露不太行

源站防火墙开启 ip 白名单，白名单只包括 cf 的 ip

server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
location / {
return 444;
}
}

server {
#sudo openssl req -x509 -nodes -days 36500 -newkey rsa:2048 -keyout /etc/ssl/private/nginx-selfsigned.key -out /etc/ssl/certs/nginx-selfsigned.crt
listen 443 ssl default_server;
listen [::]:443 ssl default_server;
server_name _;

ssl_certificate /etc/ssl/certs/nginx-selfsigned.crt;
ssl_certificate_key /etc/ssl/private/nginx-selfsigned.key;

location / {
return 444;
}
}

server {
listen 80;
server_name example.com
1.example.com
2.example.com;

return 301 https://$host$request_uri;
}

已经扫到了没办法的，比如 censys.io 这种傻逼

换 IP ，或者等他一段时间扫描不到无法被主动搜索到

https://www.cloudflare.com/zh-cn/ips/
除了这几个段的 IP ，其他全部 drop 掉就行了

套 CF ，关闭 ICMP 。

最好还是直接防火墙只允许 cf 的 IP 入站

nginx 对于 80 返回 444 （直接切断连接），443 选择 ssl_reject_handshake
IP 白名单，只允许 CF 的 IP 访问
感觉不放心的话可以配合 CF 的 Argo Tunnel 使用，直接不暴露端口到公网

现在每天全球扫描的机器多的很,会扫整个公网网段的

天天被扫，习惯就好。

怎么可能不会被扫描到，每天几万家安全公司的扫描器(还不带恶意代码扫描)，怎么会错过。
现在好多 cloudflare 的 ip ，我扫后，端口全开，可都是假的，也就是啥都没扫出来。可以套用一下。

以 Caddy 为例

你可以使用以下的方法：

在你的 Caddyfile 中，添加一个 trusted_proxies 的选项，把 cloudflare 的 ip 段都列出来，例如：
{
trusted_proxies 103.21.244.0/22 103.22.200.0/22 103.31.4.0/22 104.16.0.0/13 104.24.0.0/14 108.162.192.0/18 131.0.72.0/22 141.101.64.0/18 162.158.0.0/15 172.64.0.0/13 173.245.48.0/20 188.114.96.0/20 190.93.240.0/20 197.234.240.0/22 198.41.128.0/17
}

然后，在你的网站的配置中，使用 remote_ip 匹配器，来检查请求的 ip 是否在 trusted_proxies 中，如果不在，就返回 403 错误，例如：
example.com {
@not_cloudflare {
not remote_ip trusted_proxies
}
respond @not_cloudflare 403
# 其他正常的配置
}

这样，你就可以实现你想要的功能。

防火墙上关闭全部端口，使用 cloudflare tunnel 接入 cf

同问国内主机的解决方案

云服务商的安全组里面设置个白名单，只允许 cf 的 IP 段访问。就算泄漏也不怕。

cloudflare tunnel 即可解决，无需开端口。

除非 cloudflare 内鬼，不然就是耶稣来了也白扯。

我现在就都是这么搞的，最主要还省事，配置证书啥的都省了。

dns 历史记录，直接扫 ip 段搜索网站内容，扫 ip 段检查证书对应的域名。

禁止 IPv4 入站，纯 IPv6 入站，且不出现在任何解析中

不开 80 端口，只开 443 。