@yaocf 如果不是源站地址泄露。针对这种情况，简单点的处理：在 nginx 里写方法去匹配 cf 给的 real ip （本地通过 include nginx 配置文件维护一个变量，保存所有恶意 ip ），然后直接返回 404 ，就不会打到业务代码上了。然后可以配合 fail2ban 自动更新恶意 ip 的配置文件。

@52txr 首先看看是不是源站地址泄露（查看请求头，是否是 cloudflare 的请求），大多数情况下，恶意地址会被 cf 自动拦截验证的。源站泄露可以先 sni 分流，针对 cf 的域名，开 nginx 的 allow ip ，只允许 cf 的地址进行请求。

tcpdump ，然后用表达式筛选。

@coolloves 我这边`docker_app_*`区域上的入站只要一关，ipv6 请求就会出问题：比如 qbittorrent 会出现：能获取到 ipv6 地址，但是连不上 ipv6 对端，也无法访问其他的 ipv6 公网服务。比如`api6.ipify.org`连 ping 都 ping 不通。

@yaocf LCP 响应，在接口设置的高级设置里。

另外，openwrt 的 pppoe 有个类似心跳的机制，如果是它报错，可以试着改心跳间隔，一定程度上能减少重连。

另外，看看有没有路由日志。比如 openwrt ，把日志找出来，也能辅助排查。

观察每次重启时有什么特点，或者正在进行什么操作。
Tips：大流量或者多目标节点数目的 UDP 上传，会被判定为 pcdn ，而自动重连。
比如 BT 下载之类的工具。网心云之类的 pcdn 服务。

感谢各位大大的帮助~

目前只能临时改掉 mailu 的配置，让直接用 real.domain 作为服务器地址，以及对应的证书。
倒是还有个理论可行的解决方案：
- 添加 Postfix 去代理 smtp ，以及 Dovecot 去代理 imap 。略麻烦，以后再试了。

@yinmin 目前做不到，real.domain 和 cdn.domain 都是申请到的域名的顶层了。它俩没办法通配。

@terrytw 嗯，确实，目前还不清楚 smtp 的细节。

按照官方的配置： https://mailu.io/master/reverse.html
它可能还缺少了一个 tls.passthrough=true

也就是 traefik 只负责路由，并不负责解析 tls 。

不知道是不是能：client->traefik 代理的 smtps （ sni:mail.real.domain ）->traefik 去掉 tls 层->mailu 上的 smtp （最好是 traefik 能把主机名改成 mail.cdn.domain ，类似 nginx 代理的时候的`proxy_set_header Host $host;`）

@terrytw 确实说漏了，这里说的反代所有的 https 服务是反代的 traefik 的 dashboard 、mailu 的 front 界面，他们都是 https 的服务。并没有反代其它协议。
real.domain 没有反代是说的 smtp 、imap 之类的服务。

但是实际上，通过 real.domain 域名对应的子域名也可以访问这些 https 服务，real.domain 上有一个总的 nginx 做了这些 https 服务的 sni 分流。

比如 mailu-front.real.domain （ nginx->mailu 前端） 和 mailu-front.cdn.domain （ cloudflare->nginx->mailu 前端），访问的都是同一个内容。

邮箱地址的域名用的是 cdn.domain （它比较短，也比较好记）。按照 mailu 的配置，邮箱服务器的地址默认是 mail.cdn.domain 。但是这个地址属于 cdn.domain ，cdn.domain 域名是整个托管给了 cloudflar 的（它不处理 smtp 和 imap 等服务）。为了保护 real.domain 主机，并不希望 cdn.domain 的任何地址被指向 real.domain 。

但是又需要在公网连接到邮箱服务。所以想知道这么做是不是可以行。

按理说应该是没问题的，更多公共邮箱的邮件服务器和邮箱地址域名都是不一致的。

@terrytw 对，`cdn.domain`是被 cloudflare 托管并开启了小云朵的，`real.domain`是对应的真实的主机。mailu 和 traefik 以及 nginx 都是 real.domain 的真实主机中的 docker 服务。

@yinmin
抱歉，没考虑到这种情况。

`cdn.domain`和`real.domain`不是同一个根域名。
写成`mail.real_domain`和`mail.real_domain`可能会容易理解一点。

也就是，如果使用 mail.cdn.domain 在公网连接邮件服务，还是会走到 cloudflare 的然后无响应（不用管收信。cloudflare 的邮件路由会把邮件转给指定邮箱）。
但是用 mail.real.domain 是可以正常连接到邮件服务的。

发信也是配置了中继（ Brevo ），所以，除非是知道 real.domain ，以及 mail.real.domain ，否则，是无法对 real.domain 发起攻击的。

@terrytw 就是因为这个原因，所以，希望通过 real.domain 去公网访问邮件服务。
也就是按照正常流程，登录邮件客户端填写如下：

地址： [email protected]
服务器地址：mail.cdn.domain
端口：。。。。。。


希望可以是：
地址 [email protected]
服务器地址：mail.real.domain
端口：。。。。。。