求一套能尽量避免 DDoS 攻击的 CloudFlare 和服务器配置教程（自己试着找过了，总是不信任自己）

之前我听说 ipv4 的证书会泄露真实 IP ，就算套了 CF 也会被打到。然后搜索的时候感觉很多 CF 教程好像都没有提到这一点，很害怕。看了几眼 CF 的官方文档好像也没提这一点。也可能是某些教程解决了那一点，但是我没识别出来。还有就是不知道还有没有其他的套了 CF 依旧可能被打到的因素我不知道。所以总是信不过自己的判断。

也许我没必要考虑这么多？等被打了再说？但是一想到那些麻烦事我就想尽量在事情发生之前把它尽量避免掉，比如封禁服务器，IP 黑洞之类的。

或者这种东西可能没人愿意分享？毕竟可能会为技术不行的攻击者提供思路？

“ipv4 的证书会泄露真实 IP ” 跟 IPv4 还是 IPv6 无关，本质上是因为 HTTP 服务器默认监听并允许所有传入连接导致的。 设置个默认服务器，默认阻断连接即可。 可参考： https://blog.dianduidian.com/post/%E5%88%AB%E5%BF%98%E4%BA%86%E7%BB%99nginx%E9%85%8D%E7%BD%AE%E9%BB%98%E8%AE%A4ssl%E8%AF%81%E4%B9%A6%E9%81%BF%E5%85%8D%E6%BA%90%E7%AB%99ip%E8%A2%AB%E6%9A%B4%E9%9C%B2/

最好找下 CDN 提供的 ip 段，http 服务限制只允许 CDN 的 ip 段访问。或者用 CF 的隧道。 因为真的有人会扫描整个 ipv4 地址去尝试找到你的源站。 另外注意发信、http 是否会对外访问，这些都要注意可能泄露。

Cloudflare 源证书是 Cloudflare 颁发的免费 TLS 证书，可以安装在源服务器上，以方便使用 HTTPS 的访问者进行端到端加密。 https://developers.cloudflare.com/ssl/origin-configuration/origin-ca/

补充一个方式，使用 Cloudflare Argo Tunnel(cloudflared) 源站只保留一个 SSH 端口供你管理，所有端口全部关闭

有两个思路，1 是常规建站+CF 代理，但额外做个措施，只允许 CF 的 IP 范围访问自己的源服务器（白名单机制之类的）； 2 另一个思路是，服务器所有流量都经过 CF Tunnel ，也就是连 80 和 443 这些常规端口都可以关闭，理论上更安全

不知道您的服务器用来搭建啥程序，如果是常规 web 网站，其实教程很多，只是说侧重点不同，有的人手搓代码，用的人用类似宝塔/1Panel 这种面板搞。 可以用以下关键字搜索，有很多参考的： wordpress cloudflare 白名单 CloudFlare Argo Tunnel 建站 VPS SSH 端口 80 443

cloudflare cdn 的 ip 地址： https://www.cloudflare.com/zh-cn/ips/ 网站加 ip 地址白名单即可。如果怕被打，加入到防火墙 iptables 效果更好。

@gentrydeng 我的服务器上安装的是 caddy 。