嘟嘟社区

谁帮我看下CF防火墙配置有啥问题


允许
  1. (cf.client.bot)

复制代码

阻止

  1. (not ip.geoip.country in {"CN" "HK" "TW" "MO"} and not cf.client.bot) or (cf.threat_score ge 5) or (not http.user_agent contains "Mozilla/") or (not http.request.version in {"HTTP/2" "HTTP/3" "SPDY/3.1"})

复制代码

现在情况是国内访问 https 正常,HTTP访问 Error 1020
挂了美国提子 HTTP,HTTPS 都是Error 1020

防火墙哪里配置错了?

都说了,不要随便用坛子里的规则(不理解的情况下)

not ip.geoip.country in {"CN" "HK" "TW" "MO"} and not cf.client.bot   …… 阻止

ip不属于 “CN" "HK" "TW" "MO" 且不是合法爬虫 ,全部阻止,缩写看的懂吧

你的诉求是什么?  "CN" "HK" "TW" "MO"  能访问还是不能?

笑花落半世琉璃 发表于 2022-3-23 15:25
都说了,不要随便用坛子里的规则(不理解的情况下)

not ip.geoip.country in {"CN" "HK" "TW" "MO"} and  …

那要怎么改啊
第一条不是合法爬虫允许了
再说我浏览器访问当成爬虫吗

吃和远方 发表于 2022-3-23 15:29
你的诉求是什么?  "CN" "HK" "TW" "MO"  能访问还是不能?

能访问

本帖最后由 笑花落半世琉璃 于 2022-3-23 15:33 编辑

aqinhai 发表于 2022-3-23 15:30
那要怎么改啊
第一条不是合法爬虫允许了

我怎么知道你要怎么改
第一个规则是第一个规则,它只放行合法爬虫。又不影响你第二个规则的判别。

你要能访问,吧最后那个(not http.request.version in {"HTTP/2" "HTTP/3" "SPDY/3.1"})去掉,不然就小鸡http强制https

页面规则级别高于防火墙

试试  页面规则里

http 301 https  

笑花落半世琉璃 发表于 2022-3-23 15:32
我怎么知道你要怎么改
第一个规则是第一个规则,它只放行合法爬虫。又不影响你第二个规则的判别。 …

那我想阻止那些垃圾爬虫和扫我网站的要怎么写规则啊

aqinhai 发表于 2022-3-23 15:37
那我想阻止那些垃圾爬虫和扫我网站的要怎么写规则啊

建议多看看文档。其实你规则2就已经阻止海外一大部分非合法性请求了。

自己时不时看看防火墙日志,筛选出你那几个放行的区域日志,再简单添加添加,拉黑一下常见的asn、ua、请求路径之类的。再慢慢完善不就好了。想要省心,找mjj付费