网站 cname接入CloudFlare 实现优选IP 保障安全

前言：如果打算接入，请务必看完全文，大致浏览一遍，若出现问题可及时找到相应答案。

前面说到，小陶的网站逐渐被各种攻击。除去cc和DDos攻击不说，也发现有不少扫描、窃取等攻击。而且攻击的来源大部分都是境外的ip，这里不得不夸赞一下国内的监管真的很好，不然全乱了。根据明月登楼大佬的建议，我决定给自己的网站的境外路线接入CloudFlare，这几乎能防住大部分的攻击，而且完全免费。但是，从2021年11月开始，CloudFlare禁用了Partner使用的zone_setAPI以避免滥用（因为该API接入不需要验证域名所有权），通过Partner实现CNAME接入的方式近乎落幕。但是可以通过CloudFlare for SaaS 来实现免费 CNAME接入。每个账户可以有 100 个域名免费额度。

我记录了被打经历：

我怂,别打了！记录typecho网站第一次被cc攻击的经历

今天再遇CC攻击，真是得不到就毁掉

谨防网络小偷，不注意可能整个站都会被偷了_做好网站备份文件的保护

也在各种斗智斗勇：

在censys里已经存留服务器ip记录仍然可以选择删除或退出，本站已在censys中删除服务器ip记录

弃用gmail的smtp服务，typecho评论邮件通知改用阿里云邮件推送服务，每天免费额度200条

利用宝塔设置禁用ip访问网站并添加假SSL证书隐藏域名信息的图文详细教程

2022年给博客接入百度云CDN免费版详细演示教程

当然还有很多攻击和防御我没有记录。

对于草根站长而言，最佳的免费方案确实如明月登楼大佬所说的，将国内路线解析到奇安信网站卫士，将境外路线解析到Cloudflare，不仅免费，也很实用！对于个人站长来说，是非常值得做的。

准备工作

前面也说了，从2021年11月开始，CloudFlare禁用了Partner使用的zone_setAPI以避免滥用（因为该API接入不需要验证域名所有权），通过Partner实现CNAME接入的方式近乎落幕。

所以需要准备两个域名。一个用于放到CloudFlare托管DNS，另一个是用来保护的。

(PS：新人可以注册硅云的免费域名：『在硅云白嫖了一年的免费域名，再次cname方式接入CloudFlare』)

以我的本次演示为例，中间域名是tsharing.top，真正保护的域名是52txr.cn。这个中间域名不需要备案，能用就行。如果实在阿里云、腾讯云等地方购买，可能需要实名认证才能进行解析。这个域名当然是越便宜越好，只是个工具域名。当然也可以去看看国外的域名。只需要拥有所有权，能够修改DNS就行。

利用国内第三方DNS，可以达到分线路解析的目的。我选择的是腾讯云的DNSPod，因为我的服务器就是腾讯云的。我记得阿里云解析也是可以实现分路线进行解析的。

将中间域名新建Zone

1、点击添加站点

（要是都操作完毕显示待处理的名称服务器更新表示还没成功，我这个是之前就已经接入了。）

2、选择0元套餐

3、查看解析记录

4、修改DNS为CloudFlare的服务器：

everton.ns.cloudflare.com
mckenzie.ns.cloudflare.com

阿里云修改DNS服务器：登录云解析管理控制台——>在【域名列表】中，单击托管的域名——>单击左侧【DNS修改】，然后在右上角点击【修改DNS服务器】

腾讯云修改DNS服务器：选择 “云产品 > 域名与网站 > 域名管理”，进入 “域名管理” 页面。在 “基本信息” 栏中，单击 “DNS 服务器” 的【修改】。

具体修改可以在网上找找，非常多的图文详细教程。

开通CloudFlare for SaaS

建议注册个PayPal，用邮箱就行，不会产生扣费。我已经亲测了。

打开网站配置页面，并且找到 SSL/TLS 下的自定义主机名。订阅 CloudFlare for SaaS。

会提示有100个免费额度。

设置回退源及自定义主机域

首先设置一个中间域名的子域名，也会是后面真正保护域名的cname地址。

然后打开 SSL/TLS 下的自定义主机域，在回退源中，填写设置好的域名，并且点添加回退源，等待生效。

等到证书状态和主机名状态都是有效的时候，说明设置成功了。

境外路线CNAME解析

在52txr.cn的DNSPods中，添加境外路线的解析。

（我的境内路线接到的时奇安信网站卫士）

将CloudFlare的ip加入白名单

Cloudflare 官方公布了他的IP段，下面也列出了，官方的网址是最新的：

Cloudflare 官方ip段

**2022年8月20日官方最新的ip段**

加入Nginx防火墙的版本（一行一个）：
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
104.16.0.0/13
104.24.0.0/14
108.162.192.0/18
131.0.72.0/22
141.101.64.0/18
162.158.0.0/15
172.64.0.0/13
173.245.48.0/20
188.114.96.0/20
190.93.240.0/20
197.234.240.0/22
198.41.128.0/17

加入系统防火墙的ip段版本（如果添加多个IP请用","隔开）：
103.21.244.0/22,103.22.200.0/22,103.31.4.0/22,104.16.0.0/13,104.24.0.0/14,108.162.192.0/18,131.0.72.0/22,141.101.64.0/18,162.158.0.0/15,172.64.0.0/13,173.245.48.0/20,188.114.96.0/20,190.93.240.0/20,197.234.240.0/22,198.41.128.0/17

如何在宝塔里加入想必不用多说，第一个是Nginx防火墙里加入ip白名单，第二个是在系统防火墙里加入ip的放行：

出现“将您重定向的次数过多”或“ERR_TOO_MANY_REDIRECTS”错误

只需调整 CloudFlare SSL/TLS 设置，将SSL修改为“完全”即可。