未分類
13 2 月 2020

【分享经验】使用nginx反代cloudflare下的https站点

好东东 大佬有话说 :

【分享经验】使用nginx反代cloudflare下的https站点

本帖最后由 好东东 于 2020-2-13 22:44 编辑

:lol 之前看到大家都在玩反代,我想了想现在的新博客挂着cf时不时真的很慢,虽然之前开启了cloudflare的railgun
初次访问以然很慢,但是通过railgun之后后续的访问fttb时间大幅度缩短了,但是有时候还是很慢
而且之前把railgun部署到了一个比较大流量的站之后发现官网所说的大幅度减少带宽传递,这里其实有坑的
我实际部署了两天之后就把那个大流量站的railgun卸了,高峰期没有railgun上传10M/s,加上railgun 25-35M/s
这个原因我后面再说

:lol 学习反代很快,反代源站http,反代源站https都没有问题了
反代在cloudflare下的https折腾了我好几个小时,期间论坛反代的帖子基本都翻完了,差点以为不行
https://s2.ax1x.com/2020/02/13/1OBhZj.png
论坛关于反代cf的帖子基本都是询问报错403 502的

接下来,分享经验

反代Cloudflare的好处在哪里
可以解决国内用户访问慢的问题(反代机器的线路质量决定)
可以解决源站和反代机器之间延迟过高,延迟不稳定的问题,毕竟Cloudflare在大多数地点都有本地节点,例如在香港和新加坡,都有本地节点,在香港或者新加坡的机器反代cloudflare本地节点的话,延迟只有1ms上下
使用cloudflare partner接入方式,可以在反代鸡鸡被攻击,切换到备用反代机器或者直接切回cloudflarecdn(需要dns解析服务支持)
:lol 比如我目前就是海外解析都给你cloudflare,国内都走反代,美滋滋

首先肯定是要cfp接入的~
cfp任意解析大佬们都会了,我就不说这里了,直接开始

如果只是简单的反代http页面,在反代服务器简单的配置以下即可,例如使用宝塔面板的,默认设置即可成功实现反代cloudflare http站点
(反代服务器如果跟cloudflare给予的Anycast节点IP延迟过高,或者因为反代服务器IP是广播问题而造成的cloudflare分配到错误的节点问题,可以通过修改反代服务器的hosts文件进行修改)
例如在我的阿里云香港机器上面,ping默认的anycast节点延迟为40ms,抓包后发现anycast给我传递到了新加坡的cloudflare节点上去

https://s2.ax1x.com/2020/02/13/1OsDo9.png
所以我们要指定修改到香港的cloudflare节点上去(修改/etc/hosts文件)
例如以下这个cloudflare的香港节点段,基本都是1ms
https://s2.ax1x.com/2020/02/13/1Os2QK.png

设置好之后,我们去本机进行测试(记得调试的话修改本地host文件进行指定解析)
https://s2.ax1x.com/2020/02/13/1OsyJ1.png
可以看到经过反代节点打开,浏览器的回应头Server 已经从cloudflare变成了我们的nginx!大功告成
(如果这时访问反代提示cloudflare的Error 1001等错误,请确认上面的步骤无误)
(如果提示Error 1006,请检查反代服务器是否可以访问到经过cloudflare的源站)
(还有个错误我忘记了,想起来的时候再来修改吧)

咳咳,咱们继续,毕竟我们说的是要反代https呀,啥,你问我为啥要反代https
还有就是一部分用户在用cloudflare的Always Use HTTPS功能
继续继续,如果接下来只是单纯的修改宝塔设置,把反代的地址从http改为https的话,你会发现报错
(有些Nginx环境配置好后可以打开页面,但是动态链接无法使用,例如无法评论,无法注册登录,也是相同报错)
这个502报错就是好几个大佬询问的反代cf https的问题
https://s2.ax1x.com/2020/02/13/1Oscz6.md.png

(昨天折腾了半天,同样的设置文件,反代我自己的https源站是可以反代成功的)
刚开始百度了好多页面,尝试着修改协议 proxy_ssl_protocols 关闭ssl设置
proxy_ssl_session_reuse off; 等等等等,都尝试过了,依然无法完美解决,最好的一次是可以反代成功https页面,但是所有动态操作无效
终于在google搜索找到了解决方案
如果是跟我一样,是自己的域名反代自己的话,只要在反代设置规则里面加入
proxy_ssl_name $host;
proxy_ssl_server_name on;
即可成功反代Cloudflare的https站点:$

:$ 效果可以看我签名主站哈,10点才改的ns,估计还有一些地方没生效,不过全国应该差不多了吧
遇到问题反馈我:lol

现在反代我的cf wordpress已经没问题了,评论 注册登录(但我关了哈哈哈)后台都莫得问题

好东东 大佬有话说 :

吃和远方 大佬有话说 : 2020-2-13 22:37
可以用 dnspod d+监控下

被攻击 直接返回到 cf 节点

:lol dnspod玩不来啊 现在用的是route53 海外全都走cloudflare防止cf**
国内走反代,秒级监控,但是国内反应好像挺慢的

naryun 大佬有话说 :

大佬牛逼,zsbd

helwo 大佬有话说 :

收录到我博客了

linhai 大佬有话说 :

guanzhu

好东东 大佬有话说 :

helwo 大佬有话说 : 2020-2-13 22:34
收录到我博客了

:lol 谢谢收录 哈哈 辛苦码字不容易
cloudflare的railgun还有个巨坑 最开始以为railgun美滋滋 其实…….

吃和远方 大佬有话说 :

可以用 dnspod d+监控下

被攻击 直接返回到 cf 节点

hasamol7468 大佬有话说 :

47.56.*.*..源站吗。。。

好东东 大佬有话说 :

hasamol7468 大佬有话说 : 2020-2-13 22:37
47.56.*.*..源站吗。。。

:lol 源站在德国:lol

hcyme 大佬有话说 :

咳咳咳咳咳咳