套 Cloudflare，应该是各位站长的标准操作了吧。

泄露 IP 和域名

当你建了个站，把你的域名解析到服务器，打开小黄云，你有没有想过——你怎么知道请求是不是 CF 传递过来的呢？

众所周知，你的 Nginx 反向代理会根据请求的 Host 头判断目标服务，比如下面的这个 server 配置就来自我的某台服务器：

1
2
3
4
5
6
7
8
9
10

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    ... # ssl
    server_name status.samhou.top; # Host
    location / {
        proxy_pass http://uptime;
        ...
    }
}

也就是说，只要有人知道了你的服务域名+你的服务器 IP，就可以给你的源站发送请求，绕过 cloudflare 直接获取内容。

这就麻烦了——你可能配了一堆 WAF，又是速率限制又是区域锁定，结果源站泄露，直接变得跟摆设一样。

不信？你试试下面的 curl 命令：

1

curl -k https://ip -H "Host: example.com"

替换成你的源站 IP 和你的域名试试执行。

那怎么让源站验证你的请求确实来自 Cloudflare 的边缘节点呢？别急，Cloudflare 给你藏了一个非常隐秘的选项。

经过身份验证的源服务器拉取

先选中域名，然后导航到 SSL/TLS - 源服务器 - 经过身份验证的源服务器拉取，打开这个：

这个选项会让 Cloudflare 向源服务器发送自己的证书。

什么意思呢？

大家都知道，源站有 SSL 证书来验证自己的身份（SSL 完全严格模式），那么客户端当然也可以有证书来验证自己的身份（这称之为 mTLS 技术）。在我们的情景下，源站是服务端，客户端是 Cloudflare 的边缘节点。

打开这个选项后，边缘节点将向源站发送 Cloudflare 的证书。源站验证证书，确认来自 Cloudflare 之后，放行。否则，直接拒绝访问。

我知道大家都用 Nginx，没错，它可以在源站充当身份认证的功能，只需两步——

首先，下载 CF 的证书（官方文档里面给的地址）：

1

wget https://developers.cloudflare.com/ssl/static/authenticated_origin_pull_ca.pem

然后，把它重命名为 crt 后缀：

1

mv ./authenticated_origin_pull_ca.pem ./authenticated_origin_pull_ca.crt

然后，配置你的 Nginx，根据你的证书保存位置加上两行（此处以放在全局 http 块中为例子。你也可以放在 server 块，为单个域名启用）：

1
2
3
4
5
6
7
8

http {
    ...
    ssl_client_certificate /etc/nginx/authenticated_origin_pull_ca.crt;
    ssl_verify_client on;
    ...
    include /etc/nginx/conf.d/*.conf;
}

现在重载 Nginx：

1

sudo service nginx reload

好了，访问你的域名，应该仍然可以正常访问。再试一次，用刚才的 curl 命令绕过 CF 直接访问，你就会很欣喜地发现一个 400 错误，提示没有提供客户端证书：

现在你的源站防护等级升高了一个档次。

其实原理很简单：就是源站要求客户端提供证书，然后对证书进行了一次验证而已，和普通的 SSL 只是方向相反而已。