分享个生成仅允许cloudflare ip访问nginx的规则的生成脚本-嘟嘟社区

弄了个自用图床就俩图片就一直被刷

没办法套上了cf 弄了个脚本自动更新cf的ip 仅允许cf访问服务器

用户请求必须通过cf才能访问到服务器否则直接403

网上抄的

#!/bin/bash
set -e
cf_ips() {
echo "# https://www.cloudflare.com/ips"
for type in v4 v6; do
echo "# IP$type"
curl -sL "https://www.cloudflare.com/ips-$type/" | sed "s|^|allow |g" | sed "s|$|;|g"
echo
done
echo "# Generated at $(LC_ALL=C date)"
}
#cf_ips > /usr/local/nginx/conf/cf.conf
(cf_ips && echo "deny all; # deny all remaining ips") > /usr/local/nginx/conf/cf.conf
nginx -s reload

复制代码

生成后在ngixn里面的server里面 Include就行了

复制代码

然后加入crontab 一小时自动刷新一次

复制代码

可以直接iptables 80 443仅允许cf

用nginx会不会性能影响大了点，用iptables干掉不是更省吗

好鸭发表于 2022-4-25 11:34
用nginx会不会性能影响大了点，用iptables干掉不是更省吗

iptable有自动化脚本没?

CF的速度太慢了

用iptable吧，阻止cf以外的IP访问80和443。

jhsyue 发表于 2022-4-25 11:39
iptable有自动化脚本没?

https://github.com/drvy/ufw-cloudflare
https://github.com/kingcc/cloudflare-ips-only

你有没有测试过？据俺所知，配置nginx规则，爬虫依旧能通过探测证书 SNI 信息来找到你的源站服务器。

取个什么名好呢发表于 2022-4-25 11:48
你有没有测试过？据俺所知，配置nginx规则，爬虫依旧能通过探测证书 SNI 信息来找到你的源站服务器。 …

知道也没用，都屏蔽了IP访问了。

啥图片这么能刷