用iptables设置只cloudflare可访问时，是否要设置ipv6的？

micto

用iptables设置只cloudflare可访问时，是否要设置ipv6的？
譬如搬瓦工的vps，还有设置ipv6的必要嘛。
自己的IP只做了IPv4的解析，CF是否会使用IPv6来进行回源呢？

Red-Black-Tree

[ol]

#!/bin/bash

# 禁止来自IPv4的所有HTTP/S访问请求

iptables -I INPUT -p tcp --dport 80 -j DROP

iptables -I INPUT -p tcp --dport 443 -j DROP

# 对Cloudflare CDN IPv4地址开放HTTP/S入站访问

for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done

for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

# 禁止来自IPv6的所有HTTP/S访问请求

ip6tables -I INPUT -p tcp --dport 80 -j DROP

ip6tables -I INPUT -p tcp --dport 443 -j DROP

# 对Cloudflare CDN IPv6地址开放HTTP/S入站访问

for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 80 -j ACCEPT; done

for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -s $i -p tcp --dport 443 -j ACCEPT; done

# 保存iptables配置

iptables-save

ip6tables-save

# 注意：80/443为默认HTTP/S协议通讯使用端口，若实际应用有使用非80/443端口进行，请依葫芦画瓢自行修改脚本

# Ubuntu系统可以使用UFW则类似：for i in `curl https://www.cloudflare.com/ips-v4`; do ufw allow proto tcp from $i to any port 80; done

# 基于Linux系统兼容性考虑脚本使用iptables配置系统防火墙，请自行根据各自系统、防火墙不同做相应配置调整实施[/ol]复制代码

哥们

nginx里添加conf文件规范回源，直接添加IPv4/6的段就行。

micto

哥们 发表于 2020-9-22 22:22

nginx里添加conf文件规范回源，直接添加IPv4/6的段就行。


试过了，还发了一个帖子的，感觉没有通过iptables彻底。。

柒焰

鸡鸡有v6就加呗，好像是ip6tables，不过v6直接开端口也没问题，扫v6的比较少吧

micto

柒焰 发表于 2020-9-22 22:27

鸡鸡有v6就加呗，好像是ip6tables，不过v6直接开端口也没问题，扫v6的比较少吧 ...


搬瓦工的只有ipv4，其实我想确认的是，不把cf的ipv6回源地址范围加进去，是否会影响cf回源。
如果不影响的话，那就只加cf的ipv6范围就好。
前几天有个mjj说过，iptables里的规则越多，速度越慢。

micto

Red-Black-Tree 发表于 2020-9-22 22:27



感谢，其实我想确认的是，不把cf的ipv6回源地址范围加进去，是否会影响cf回源。
如果不影响的话，那就只加cf的ipv6范围就好。
前几天有个mjj说过，iptables里的规则越多，速度越慢。

Red-Black-Tree

你服务端没有ipv6地址当然不用添加ipv6的规则了

嗷嗷

micto 发表于 2020-9-22 23:02

搬瓦工的只有ipv4，其实我想确认的是，不把cf的ipv6回源地址范围加进去，是否会影响cf回源。
如果 ...
你没有V6的话，CF想回也没得回啊。总不能你填了个不存在的V6给CF吧