利用 Cloudflare 隐藏源站 IP 的核心是将域名 DNS 解析指向 Cloudflare 边缘服务器，并开启代理状态，使公众只能访问到 Cloudflare 的 IP，而无法直接探测到后端 VPS 的真实 IP。适用场景为需要防御 DDoS 攻击或保护基础设施隐私的 Web 服务，风险边界在于如果源站 IP 曾经泄露或被其他子域名暴露，单独修改主域名解析无法彻底隐藏。

命令速用版

如果已经配置好 DNS，重点在于服务器防火墙只允许 Cloudflare IP 段访问 80 和 443 端口。

# 示例：使用 ufw 允许 Cloudflare IPv4 段（需根据官方最新列表更新）
ufw allow from 173.245.48.0/20 to any port 80
ufw allow from 173.245.48.0/20 to any port 443
# 拒绝其他直接 IP 访问（谨慎操作，先确保 Cloudflare 回源正常）
ufw deny 80
ufw deny 443

注意：直接禁止 80/443 可能导致 Cloudflare 无法回源，建议先设置允许 Cloudflare IP，再观察日志确认流量来源。

为什么会这样

Cloudflare 隐藏 IP 的原理是反向代理，用户请求先到达 Cloudflare 边缘服务器，再由 Cloudflare 转发给源站。

在这种架构下，公众查询域名 DNS 记录得到的是 Cloudflare 的 IP 地址，而非 VPS 的真实 IP。只要源站不主动泄露真实 IP（例如通过邮件头、错误页面或未代理的子域名），外部攻击者就无法直接攻击 VPS 真实 IP。海外三网直连 VPS 在此架构中作为源站，负责处理实际业务逻辑，其网络质量影响 Cloudflare 回源的速度，但不影响前端隐藏效果。

分步处理

按照 DNS 配置、SSL 设置、防火墙加固的顺序操作，每一步完成后需检查连通性。

1. 修改 DNS 解析

在 Cloudflare 后台将域名 A 记录指向 VPS IP，并确保云朵图标为橙色（开启代理）。

2. 配置 SSL/TLS 模式

在 Cloudflare SSL/TLS 设置中选择“完全（严格）”模式，防止中间人攻击，并确保源站安装了有效的自签名或公网证书。

3. 源站防火墙加固

在 VPS 上配置防火墙，仅允许 Cloudflare 的 IP 段访问 Web 端口。Cloudflare 官方提供 IP 段列表，需定期更新。

4. 检查泄露点

检查网站代码中是否有直接请求外部资源时暴露源站 IP 的行为，例如图片外链、API 请求等。

怎么验证是否生效

通过多地 Ping 测试和 HTTP 头检查确认域名解析 IP 是否为 Cloudflare IP，且直接访问 VPS IP 被拒绝。

# 查看域名解析 IP
dig example.com
# 查看 HTTP 响应头，确认 Server 字段是否泄露信息
curl -I https://example.com

如果 dig 结果显示的 IP 属于 Cloudflare 范围，且直接在浏览器输入 VPS IP 无法访问网站（或返回 403/超时），则隐藏生效。

常见坑

历史 DNS 记录、未代理的子域名和服务器主动外联是导致 IP 泄露的主要原因。

• 历史 DNS 缓存：如果开启 Cloudflare 前域名已解析过真实 IP，公共 DNS 缓存可能保留旧记录。
• 子域名未代理：如 mail.example.com 直接解析到 VPS IP，攻击者可通过查询子域名获取真实 IP。
• 服务器外联泄露：VPS 主动向外发送请求（如发送通知邮件、回调第三方 API）时，目标服务器日志会记录真实 IP。

常见问题

开启 Cloudflare 后网站访问变慢怎么办？

检查 Cloudflare SSL 模式是否匹配源站配置，并确认 VPS 到 Cloudflare 边缘的网络链路质量。

直接输入 VPS IP 还能访问网站正常吗？

不正常，应该配置防火墙禁止直接 IP 访问，否则隐藏 IP 失去意义。

Cloudflare 免费版的隐藏效果付费版有区别吗？

IP 隐藏原理相同，但付费版提供更高级的防火墙规则和更低的延迟优化选项。

参考来源

• Cloudflare 官方文档，Connecting Cloudflare to your web server，developers.cloudflare.com
• Cloudflare 官方文档，Restoring original visitor IPs，developers.cloudflare.com