使用 Cloudflare Access 保護在線應用

考慮以下場景: 你想要 SelfHost 一個在線協作平台/私有雲/Git倉庫供團隊使用, 或者想要和別人分享服務器 SSH 權限; 但是直接把應用暴露在互聯網上感覺實在不放心, 團隊規模又沒有大到非要使用 VPN 組網的地步, 亦或許你的團隊成員技術都很拉胯, 根本沒有什麼安全意識…

或者你就想要單純的保護一下 WordPress 的後台, 除了你自己其他人都不許碰. 但是你的 IP 天天都在變, 使用固定 IP 肯定不合適. 有什麼簡單的方法可以做到只允許自己訪問?

Cloudflare Access

碰到這種情況, 第一個想到的當然又是去白嫖 CF 乾爹了.

Cloudflare Access 其實就是一個帶非常強大的驗證功能的反向代理. 可以把這個玩意想像為一道門加一隻看門狗, 你的應用就是被它保護著. 要讓 Cloudflare Access 生效, 有一個大前提是用戶能且只能通過 Cloudflare 連接到你的應用, 這就得用到 Cloudflare Argo Tunnel 來完成 (以 WordPress 舉例, 看這篇文章 ). 剩下的就是按部就班了.

閱讀全文 使用 Cloudflare Access 保護在線應用

Ban 掉來自中國 IP 的流量

前言

隨著我博客來自大陸的流量越來越多, 我逐漸開始有一點擔心. 雖然我已經屏蔽了國內搜索引擎的 Spider, 但是來源於大陸的流量還是和來源於美帝的不相上下. 從各個地方 Ping 的結果也不樂觀, 大陸地區已經出現隨機丟包的現象, 而且很嚴重. 我暫時沒有搞清楚這是針對我的域名還是針對 Cloudflare CDN 的流量.

目前正值建襠百年特別時期, 地鐵站的安檢人員都肉眼可見的增加了數量, 更別說在線管控了. 更加誇張的是, 著名反動博主編程隨想都在5月中旬被消失 ( 我為此傷心了真的非常久 ), 論技術, 我肯定都配不上給編程隨想提鞋, 況且我在用 BugPress 作為博客程序; 要是誰哪天看我不爽來搞我, 我肯定分分鐘去吃國家飯.

然而從我的角度來說, 我肯定不會因為局勢 intense 而乖乖閉嘴: 要我閉嘴不如先去叫我死. 但是隨著我的成長和文章數量的增多, 日後我肯定要浪費大量時間在安全防範上, 而且我目前肉身還在牆內, 物理安全得不到保障.

綜上所述, 雖然我真的很不捨得放棄將近一半的流量, 我還是得這麼做, 幹掉所有來自大陸的流量 (不包括香港, 以及本來就不包括台灣) . 這樣, 至少在我肉身在牆內的階段應該不會有人來找我麻煩 — 這只是一個戰略讓步, 一旦我肉身過牆, 我會立即取消這個設定.

閱讀全文 Ban 掉來自中國 IP 的流量

WordPress + Cloudflared + V2ray 異地組網並隱藏流量

目標

  • 異地組網, 遠程訪問家中環境
  • 結合海外 VPS 翻牆 ( 不在此篇討論 )
  • 使用 V2Ray TLS 加密流量
  • 將 TLS 流量隱藏在正常的 HTTPS 流量中達到混淆目的
  • 使用 Cloudflare 的內網穿透服務, 達到防探測目的 ( 服務器直接和 CF 溝通, 沒有端口暴露 )
  • 使用 Cloudflare 的 CDN 服務, 達到防牆、加速作用

如果你並不是想要做異地組網, 而是想要在 VPS 上跑 (Nginx/Caddy/Apache) + WP + V2Ray, 那麼你其實用不著這麼複雜. 你只需要看這篇文章就可以了.

(這篇博文主要是討論一個沒多少人做過的方案的可行性, 所以你會看到後面還有一大通廢話; 作為教程本文是不合格的, 如果想要尋找教程請出門右轉谷歌搜索. )

網絡拓墣示意圖
閱讀全文 WordPress + Cloudflared + V2ray 異地組網並隱藏流量

Cloudflare Tunnel Self WebHosting

由於不習慣用 Hugo 管理內容, 且文章漸漸多了起來, 我在家中的樹莓派上跑起了一個 WordPress. 一切都進行的很順利, 直到我發現發佈這個網站並不是我想像中的那麼容易.

這篇文章是一篇踩坑文, 就是說我會把我在設置中遇到的一切困難完整的紀錄在文章中, 因此你不應當將其當作教程來看. 如果需要教程的話, 我推薦 官方文檔 , 或者 土豆不好吃 的教程.

前言

失敗的嘗試

首先, 我的樹莓派跑在內網, 我需要在路由器上配置一個端口轉發. 借助 Openwrt 的圖像介面, 我輕鬆的完成了轉發.

其次, 我還需要一個公網 IP. 撥打了電信的電話, 我成功的要到了公網 IP.

因為 “維穩” 需求, 電信是封殺 80, 443, 等常見的端口的. 因此我將 443 端口轉發到了 2053 端口上. ( HTTPS 證書是 Cloudflare 的原站證書 ) 2053 端口確定可以訪問.

在然後, 每次撥號的時候 IP 都會改變, 我需要配置一個 DDNS. 為了解決這個問題, 我找到了一個 Cloudflare DDNS 腳本跑在 Openwrt 裡來動態更新我的 IP.

一個類似 ip.justin.education:2053 的地址為免有些太過不友好, 於是我使用 CF-Workers 反向代理網站到 proxy.justin-zhang.workers , 再將其 CNAME 到 justin.education.

如果是靜態頁面這個時候已經可以訪問了, 但是 WordPress 並不支持多個域名, 一直在執著的 301 重定向. 我不能配置其地址為 justin.education, 因為那樣我就沒辦法登錄後台: CF 反代不支持保存 Cookies.

我於是在 Openwrt 上用 Docker 跑了一個 Nginx 來反代網站, 放棄了簡單的端口轉發的方案. 這次成功了, 不過我遇到了一些圖片和CSS不能加載的問題. 安裝插件之後我配置了替換 Header 的規則, 總算是可以看了.

但是由於 CF Workers 的緣故, 評論還是不工作. 而且攻擊者只要知道了我的端口是 2053, 他可以全網搜索 ip.justin.education:2053 的證書來找到我的真是 ip; 這顯然太冒險.

這個方案失敗之後, 還剩下的就是使用 frp 內網穿透的方案. 然而我並不想用我的翻牆服務器來代理網站, 我經常換 ip, 而且不安全, 而且效率太低.

看起來我已經被逼到絕路了.

閱讀全文 Cloudflare Tunnel Self WebHosting

白嫖方法大全

— 又名, 如何成為一名合格的天朝網民

此列表中的一些项目可能已经过时.
不过说实话,这是我迄今为止互联网白嫖的所有经验了

白嫖的定义: 白嫖,泛指不花钱得到某物、某福利。
本篇只收录一些可以将有广泛成本的东西化为无成本或极低成本的办法,本身免费的开源项目不会被包括。

免费过墙方法

Cloudflare Workers

自建 VPS

使用VPN

建站必备白嫖

静态托管白嫖

动态托管白嫖

动态托管都可结合v2实现过墙,具体自行谷歌

邮件重定向白嫖

  • ImproveMX: 官网
    • 还可以结合gmail使用自定义域名发送邮件,参考官网

CDN白嫖

域名白嫖

网络空间白嫖

网盘白嫖

网盘索引白嫖

名称平台功能链接
GDindexGDriveCFWorkers支持小文件上传
支持离线下载
支持多网盘管理
支持多媒体播放
支持两种主题
支持网站加密
Github
OneManagerOneDrive
AliyunDrive
Sharepoint
PHP 环境
可一键Heroku
动态管理
支持多媒体播放
内置多种主题
支持匿名上传(图床)
Github
OnedriveIndexOneDriveCFWorkers极简树状列表
支持多媒体
Github

网盘的一些应用

  • PicGo Github 图床软件: github
  • autoPicCDN Github 在线图床: github
    • 建议配合食用:[heroku PHP托管](https://www.heroku.com/
    • 建议配合食用: jsDelivr

其他白嫖

短信与邮件白嫖

免费软件白嫖

  • HMCL 我的世界启动器: 官网
  • Impact 我的世界 cheat client: 官网
  • Future 我的世界 cheat client:
  • 破解谷歌应用(提供非root版本):
    • Youtube Vanced 无广告: 官网
    • GMusic Vanced 无广告: 官网
    • 华为手机使用谷歌服务: 官网
  • LuckyPatcher: 官网
  • 手机广告移除(需要root) Enegrized: 官网

恭喜你获得成就: 一名合格的天朝网民!