提要：

不要以为我们使用了CDN隐藏源站IP就万无一失，实际上有很多种办法获取到源站IP。

从cloudflare 官方获取IP段

https://www.cloudflare.com/ips/

配置nginx

将官方的ip地址，以下列格式保存到/www/cfip.txt (任意路径)

# IPv4
allow 103.21.244.0/22;
allow 103.22.200.0/22;
allow 103.31.4.0/22;
allow 104.16.0.0/12;
allow 108.162.192.0/18;
allow 131.0.72.0/22;
allow 141.101.64.0/18;
allow 162.158.0.0/15;
allow 172.64.0.0/13;
allow 173.245.48.0/20;
allow 188.114.96.0/20;
allow 190.93.240.0/20;
allow 197.234.240.0/22;
allow 198.41.128.0/17;

# IPv6
allow 2400:cb00::/32;
allow 2405:8100::/32;
allow 2405:b500::/32;
allow 2606:4700::/32;
allow 2803:f800::/32;
allow 2c0f:f248::/32;
allow 2a06:98c0::/29;

修改nginx配置文件，在server 块里添加

include /www/ctip.txt;

deny all;

防止ssl暴露此步必须

使用cloudflare的自签证书。

如果使用其他CDN，创建一个nignx默认站点，使用自签证书

未经允许不得转载：VPSBOOM!!! » NGINX 设置网站仅允许CloudFlare IP访问 隐藏源站IP 防止源站被扫描