为什么服务器只允许 Cloudflare IP 访问？因为套CF的网站也会碰到傻逼刷流量，只允许 Cloudflare IP 访问可有效防止这种情况。下面是利用 iptables 来设置 CF IP 白名单的方法：添加CF白名单添加cloudflare ips-v4 iptables 白名单的命令： for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done if(window.hljsLoader && !document.currentScript.parentNode.hasAttribute('data-s9e-livepreview-onupdate')) { window.hljsLoader.highlightBlocks(document.currentScript.parentNode); } 添加cloudflare ips-v6 iptables 白名单的命令: for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done if(window.hljsLoader && !document.currentScript.parentNode.hasAttribute('data-s9e-livepreview-onupdate')) { window.hljsLoader.highlightBlocks(document.currentScript.parentNode); } 丢弃白名单以外的 ipv4 80,443 tcp 包: iptables -A INPUT -p tcp -m multiport --dports http,https -j DROP if(window.hljsLoader && !document.currentScript.parentNode.hasAttribute('data-s9e-livepreview-onupdate')) { window.hljsLoader.highlightBlocks(document.currentScript.parentNode); } 丢弃白名单以外的 ipv6 80,443 tcp 包: ip6tables -A INPUT -p tcp -m multiport --dports http,https -j DROP if(window.hljsLoader && !document.currentScript.parentNode.hasAttribute('data-s9e-livepreview-onupdate')) { window.hljsLoader.highlightBlocks(document.currentScript.parentNode); } 开机自启上面就配置好了IP白名单，但是服务器重启，这些就会丢失，下面就来配置开机自启动。首先安装 iptables-persistent： apt install iptables-persistent 完成后运行： iptables-save > /etc/iptables/rules.v4 ip6tables-save > /etc/iptables/rules.v6 以上就配置好了开机自启动。清空规则，还原当然如果不玩了，要清空上面规则命令如下： iptables -P INPUT ACCEPT iptables -F > /etc/iptables/rules.v4 > /etc/iptables/rules.v6 if(window.hljsLoader && !document.currentScript.parentNode.hasAttribute('data-s9e-livepreview-onupdate')) { window.hljsLoader.highlightBlocks(document.currentScript.parentNode); }

贴个firewalld的，重启服务器会失效： for i in `curl https://www.cloudflare.com/ips-v4` do firewall-cmd --zone=trusted --add-source=$i done if(window.hljsLoader && !document.currentScript.parentNode.hasAttribute('data-s9e-livepreview-onupdate')) { window.hljsLoader.highlightBlocks(document.currentScript.parentNode); } 清空规则：firewall-cmd –reload，或者重启服务器白名单就是舒服

服务器只允许 Cloudflare IP 访问

七舅姥爷

为什么服务器只允许 Cloudflare IP 访问？因为套CF的网站也会碰到傻逼刷流量，只允许 Cloudflare IP 访问可有效防止这种情况。

下面是利用 iptables 来设置 CF IP 白名单的方法：

添加CF白名单

添加cloudflare ips-v4 iptables 白名单的命令：

for i in `curl https://www.cloudflare.com/ips-v4`;
    do iptables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT;
done

添加cloudflare ips-v6 iptables 白名单的命令:

for i in `curl https://www.cloudflare.com/ips-v6`;
    do ip6tables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT;
done

丢弃白名单以外的 ipv4 80,443 tcp 包:

iptables -A INPUT -p tcp -m multiport --dports http,https -j DROP

丢弃白名单以外的 ipv6 80,443 tcp 包:

ip6tables -A INPUT -p tcp -m multiport --dports http,https -j DROP

开机自启

上面就配置好了IP白名单，但是服务器重启，这些就会丢失，下面就来配置开机自启动。
首先安装 iptables-persistent：
apt install iptables-persistent

完成后运行：
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

以上就配置好了开机自启动。

清空规则，还原

当然如果不玩了，要清空上面规则命令如下：

iptables -P INPUT ACCEPT
iptables -F
> /etc/iptables/rules.v4
> /etc/iptables/rules.v6

梗概泥橙

贴个firewalld的，重启服务器会失效：

for i in `curl https://www.cloudflare.com/ips-v4`
  do firewall-cmd --zone=trusted --add-source=$i
done

清空规则：firewall-cmd –reload，或者重启服务器
白名单就是舒服

ningfeng.im

梗概泥橙怎么让他不失效呢，还有你只写了V4的，有V6的吗？

残影

假装看懂了。

xuexiwang

但这样是不是搜索引擎就爬不了网站了？

七舅姥爷

xuexiwang 不影响，又没屏蔽爬虫。

ahlice

更想知道为啥某些h站会屏蔽访问，被迫换az的才行也是弹出被cf拦截

七舅姥爷

ahlice 可能h站屏蔽了国内IP

ahlice

七舅姥爷国内直连都可以 aws的rn的vps都不行只能az的才行离谱

萨布林

for i incurl https://www.cloudflare.com/ips-v4; do iptables -I INPUT -p tcp -m multiport --dports http,https -s $i -j ACCEPT; done
请问这条命令是自动更新最新cf ip吗，重启后是否仍然生效

ningfeng.im

这样动态网站回源会不会有问题？