套 Cloudflare,应该是各位站长的标准操作了吧。

注意 SSL 配置

本文的前提是 Cloudflare 开启 SSL 严格/严格(完全)。否则无效。

泄露 IP 和域名

当你建了个站,把你的域名解析到服务器,打开小黄云,你有没有想过——你怎么知道请求是不是 CF 传递过来的呢?

众所周知,你的 Nginx 反向代理会根据请求的 Host 头判断目标服务,比如下面的这个 server 配置就来自我的某台服务器:

1
2
3
4
5
6
7
8
9
10
server {
    listen 443 ssl;
    listen [::]:443 ssl;
    ... # ssl
    server_name status.samhou.top; # Host
    location / {
        proxy_pass http://uptime;
        ...
    }
}

也就是说,只要有人知道了你的服务域名+你的服务器 IP,就可以给你的源站发送请求,绕过 cloudflare 直接获取内容。

这就麻烦了——你可能配了一堆 WAF,又是速率限制又是区域锁定,结果源站泄露,直接变得跟摆设一样。

不信?你试试下面的 curl 命令:

1
curl -k https://ip -H "Host: example.com"

替换成你的源站 IP 和你的域名试试执行。

html 全都出来了

那怎么让源站验证你的请求确实来自 Cloudflare 的边缘节点呢?别急,Cloudflare 给你藏了一个非常隐秘的选项。

经过身份验证的源服务器拉取

先选中域名,然后导航到 SSL/TLS - 源服务器 - 经过身份验证的源服务器拉取,打开这个:

经过验证的源服务器拉取

这个选项会让 Cloudflare 向源服务器发送自己的证书。

什么意思呢?

大家都知道,源站有 SSL 证书来验证自己的身份(SSL 完全严格模式),那么客户端当然也可以有证书来验证自己的身份(这称之为 mTLS 技术)。在我们的情景下,源站是服务端,客户端是 Cloudflare 的边缘节点。

打开这个选项后,边缘节点将向源站发送 Cloudflare 的证书。源站验证证书,确认来自 Cloudflare 之后,放行。否则,直接拒绝访问。

我知道大家都用 Nginx,没错,它可以在源站充当身份认证的功能,只需两步——

首先,下载 CF 的证书(官方文档里面给的地址):

1
wget https://developers.cloudflare.com/ssl/static/authenticated_origin_pull_ca.pem

然后,把它重命名为 crt 后缀:

1
mv ./authenticated_origin_pull_ca.pem ./authenticated_origin_pull_ca.crt

然后,配置你的 Nginx,根据你的证书保存位置加上两行(此处以放在全局 http 块中为例子。你也可以放在 server 块,为单个域名启用):

1
2
3
4
5
6
7
8
http {
    ...
    ssl_client_certificate /etc/nginx/authenticated_origin_pull_ca.crt;
    ssl_verify_client on;
    ...
    include /etc/nginx/conf.d/*.conf;

}

现在重载 Nginx:

1
sudo service nginx reload

好了,访问你的域名,应该仍然可以正常访问。再试一次,用刚才的 curl 命令绕过 CF 直接访问,你就会很欣喜地发现一个 400 错误,提示没有提供客户端证书:

错误

现在你的源站防护等级升高了一个档次。

其实原理很简单:就是源站要求客户端提供证书,然后对证书进行了一次验证而已,和普通的 SSL 只是方向相反而已。

Cloudflare 内部威胁

由于使用了 Cloudflare 的证书,所以只能验证请求来自 CF 的边缘节点,但不能验证请求是你的账号所发出的。也就是说,如果别人通过某种方法让 CF 以你的 Host 回源你的服务器,就会绕过此限制。要解决这个问题,只能自定义上传证书,这不在本文的探讨范围内。