Cloudflare

Список IP адресов CloudFlare

https://www.cloudflare.com/ips/

IPv4

https://www.cloudflare.com/ips-v4

173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
104.16.0.0/12
172.64.0.0/13
131.0.72.0/22

IPv6

https://www.cloudflare.com/ips-v6

2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32

Не работает почта через Cloudflare

Это не баг, это фича. Cloudflare и не должен кэшировать почтовый трафик.

Поэтому нужно выключить облако в CF и сделать его серым. И всё сразу начнёт работать.

mod_cloudflare

Код на github: https://github.com/cloudflare/mod_cloudflare
Готовые пакеты и инструкция по установке: https://www.cloudflare.com/technical-resources/#mod_cloudflare

Ссылки на RPM/DEB

RHEL/CentOS/CloudLinux

Debian

Добавить IP в whitelist для WAF

Firewall → Firewall Rules → Field: IP Address → Operator: is in → Value: список адресов → Then… Bypass.

Подробнее

Доступ только по 80 и 443

Проблема: CF проксирует by design не только 80 и 443 порт, но ещё и порты cPanel/Plesk (8080, 8880, 2052, 2082, 2086, 2095, 2053, 2083, 2087, 2096, 8443). Об этом подробнее здесь и здесь. В результате на сайт можно попасть к примеру по адресу https://foobar.com:8443

Первое решение: включить WAF правило "100015 Anomaly:Port - Non Standard Port (not 80 or 443)" в разделе Firewall → Managed Rules → Cloudflare Specials

Второе решение: в разделе Firewall → Firewall Rules добавить

Rule Name: Port Block
Rule Action: Block

(http.host eq "rtfm.wiki") and not cf.edge.server_port in {80 443}

В документации CF указан НЕВЕРНЫЙ пример (ошибка parse error)

host eq "www.example.com" and not cf.edge.server_port in {80 443}

Разве нельзя просто закрыть все эти порты? Нет, нельзя.

Итого. Доступ можно закрыть и пользователь будет получать сообщение "Error 1020 Access Denied", но при этом nmap всё равно будет показывать "Discovered open port 8443/tcp on 104.x.y.z"