套了CF用myssl检查ssl的时候怎么还能查到源IP呢

ghyghoo8达雅

达雅 发表于 2019-1-8 15:23

直接用的cf的解析，应该也不是解析问题，我也纳闷了
旁边的云朵点了么
ghyghoo8 发表于 2019-1-8 15:23

旁边的云朵点了么
点了，CF的SLL严格模式都正常开启使用了，这些都是没错的

ghyghoo8

达雅 发表于 2019-1-8 15:27

点了，CF的SLL严格模式都正常开启使用了，这些都是没错的
抱歉那不清楚了

shiro

本帖最后由 shiro 于 2019-1-8 15:36 编辑

套CF之后如果不想暴露源站：

方法0

源站不开 HTTPS（一劳永逸不用继续往下看）

方法1
源站 default vhost 配置其他假证书 (SNI)
源站 vhost 用 geoip 模块白名单 CF IP 段

方法2
iptables 80/443 白名单 CF IP 段


不开default证书、不白名单IP段。楼主这种情况就是

扫描工具直接扫IP，https://IP，nginx直接返回了CF给你签的证书（颁发给：xxxxx.com），boom

zaodama

shiro 发表于 2019-1-8 15:33

套CF之后如果不想暴露源站：

方法0
收藏了