套了CF用myssl检查ssl的时候怎么还能查到源IP呢

达雅 · 发表于 2019-1-8 15:03:36

我的站套了CF，用的CF的dns解析，开了严格模式的SSL，已经半个多月了，去myssl.com上检测居然还能查到我源站IP，并且不是缓存是最近两天扫描的数据，好坑，啥情况居然这么简单就暴露IP了

shiro · 发表于 2019-1-8 15:33:56

本帖最后由 shiro 于 2019-1-8 15:36 编辑

套CF之后如果不想暴露源站：

方法0

源站不开 HTTPS（一劳永逸不用继续往下看）

方法1
源站 default vhost 配置其他假证书 (SNI)
源站 vhost 用 geoip 模块白名单 CF IP 段

方法2
iptables 80/443 白名单 CF IP 段

不开default证书、不白名单IP段。楼主这种情况就是

扫描工具直接扫IP，https://IP，nginx直接返回了CF给你签的证书（颁发给：xxxxx.com），boom

yaoruisheng · 发表于 2019-1-8 15:04:20

不发站出来给大佬们打打？

memorylv · 发表于 2019-1-8 15:08:24

免费的ssl？

shiro · 发表于 2019-1-8 15:13:06

https://censys.io/

目测源站 https://IP 会暴露源站证书，所以被关联起来啦

达雅 · 发表于 2019-1-8 15:14:37

memorylv 发表于 2019-1-8 15:08

免费的ssl？
服务器上套的cloudflare的免费TLS证书，然后就是cloudflare CDN的ssl了

ghyghoo8 · 发表于 2019-1-8 15:08:00

"

这个是缓存的原因
如果iptables没有相应规则还是能被有心人找到的，如楼上说的那个工具

达雅 · 发表于 2019-1-8 15:16:52

ghyghoo8 发表于 2019-1-8 15:16

这个是缓存的原因
如果iptables没有相应规则还是能被有心人找到的，如楼上说的那个工具 ...
非缓存，是更新数据显示最近两天扫描的结果还有显示源IP

ghyghoo8 · 发表于 2019-1-8 15:19:14

达雅发表于 2019-1-8 15:19

非缓存，是更新数据显示最近两天扫描的结果还有显示源IP
解析问题？

达雅 · 发表于 2019-1-8 15:16:00

ghyghoo8 发表于 2019-1-8 15:22

解析问题？
直接用的cf的解析，应该也不是解析问题，我也纳闷了

		自动登录	找回密码
密码			立即注册