起因
有大佬谈论到,套了cdn的网站源ip的查询方法。其中提到censys.io。 输入网址可以直接查询到原站IP。
1.原理
我们建站源站若使用了ssl. 那么直接访问,https://源站ip. 就可以得到我们网址,以及证书。
这样就间接确定了,我们网站的域名以及真实ip. censys.io通过扫描 ip地址来得到域名从而暴露源站 ip.
2.防护
只要访问我们的ip,不暴露真实证书就可以了。
a.宝塔新建一个网站,域名为自己真实的ip地址
b.添加假的ssl证书。
c.整站404。
location / {
return 404;
}
3.确认效果
没有暴露证书及域名即可
Firewalld 加源站访问限制
Centos:
yum install firewalld(如果有就不用装了)
cd /etc/firewalld/zones/
vi cfrules.xml
粘贴以下代码
详细请参考 https://www.cloudflare.com/ips/ 回源IP列表
可能会有更新 按照其他一样加上就可以了
<zone>
<source address="173.245.48.0/20"/>
<source address="103.21.244.0/22"/>
<source address="103.22.200.0/22"/>
<source address="103.31.4.0/22"/>
<source address="141.101.64.0/18"/>
<source address="108.162.192.0/18"/>
<source address="190.93.240.0/20"/>
<source address="188.114.96.0/20"/>
<source address="197.234.240.0/22"/>
<source address="198.41.128.0/17"/>
<source address="162.158.0.0/15"/>
<source address="104.16.0.0/12"/>
<source address="172.64.0.0/13"/>
<source address="131.0.72.0/22"/>
<port protocol="tcp" port="80"/>
<port protocol="tcp" port="443"/>
</zone>
4. firewall-cmd --reload
如显示success则成功。
CNAME CDN
指定CloudFlare CNAME的IP 理论上就不会回源了
主机推介
