起因
有大佬谈论到,套了cdn的网站源ip的查询方法。其中提到censys.io。 输入网址可以直接查询到原站IP。
1.原理
我们建站源站若使用了ssl. 那么直接访问,https://源站ip. 就可以得到我们网址,以及证书。
这样就间接确定了,我们网站的域名以及真实ip. censys.io通过扫描 ip地址来得到域名从而暴露源站 ip.
2.防护
只要访问我们的ip,不暴露真实证书就可以了。
a.宝塔新建一个网站,域名为自己真实的ip地址
b.添加假的ssl证书。
c.整站404。
location / {
return 404;
}
3.确认效果
没有暴露证书及域名即可
Firewalld 加源站访问限制
Centos:
yum install firewalld(如果有就不用装了)
cd /etc/firewalld/zones/
vi cfrules.xml
粘贴以下代码
详细请参考 https://www.cloudflare.com/ips/ 回源IP列表
可能会有更新 按照其他一样加上就可以了
<zone>
<source address="173.245.48.0/20"/>
<source address="103.21.244.0/22"/>
<source address="103.22.200.0/22"/>
<source address="103.31.4.0/22"/>
<source address="141.101.64.0/18"/>
<source address="108.162.192.0/18"/>
<source address="190.93.240.0/20"/>
<source address="188.114.96.0/20"/>
<source address="197.234.240.0/22"/>
<source address="198.41.128.0/17"/>
<source address="162.158.0.0/15"/>
<source address="104.16.0.0/12"/>
<source address="172.64.0.0/13"/>
<source address="131.0.72.0/22"/>
<port protocol="tcp" port="80"/>
<port protocol="tcp" port="443"/>
</zone>
4. firewall-cmd --reload
如显示success则成功。
CNAME CDN
指定CloudFlare CNAME的IP 理论上就不会回源了
声明: 博客仅为分享信息绝非推荐,网站不参与交易绝非中介,内容均仅代表个人观点绝非权威,读者请自行考虑后入手并自担风险!一分钱一分货仍是恒久不变之真理,未成年读者(包括生理和心理)请在监护人陪同下访问本站!本文由( )原创编译,转载请保留链接: >鄙视无耻复制行为! 关于隐私: 非全职打理博客,所有评论不保证审核时间进度,我有义务保证您的个人信息不经由赵容部落透露给任何第三方,随意或虚假邮箱评论会自动进入垃圾箱无法展示和给您回应. 关于安全: 任何IDC都有倒闭和跑路的可能,出口线路更不可控,月付和备份是您的最佳选择,请保持良好的、有规则的备份习惯.
主机推介
