少女祈祷中 · · ·

使用Cloudflare Argo隐藏VIPER后台


What is a Cloudflare Argo Tunnel
Argo隧道提供了一种简便的方法,可将Web服务器安全地公开到Internet,而无需打开防火墙端口和配置ACL。 Argo隧道还可以确保请求在到达网络服务器之前先通过Cloudflare进行路由,因此可以确保通过Cloudflare的WAF和Unmetered DDoS缓解功能停止了攻击流量,并且如果为帐户启用了这些功能,则可以通过Access进行身份验证。

为什么走Argo而不是普通CDN?
因为走CDN要用安全组放通60000端口,并且泄露了C&C服务器的IP地址,增加了被溯源隐患。使用ArgoTunnel不需要放通后台端口。而且有Cloudflare官方证书。

并且现在Cloudflare默认走香港节点,大陆访问也不慢。

为啥我要这么搞呢,其实一开始我只是想隐藏后台,所以使用宿主机装nginx反代,但是太难弄了。最后突然想起来Argo可以不开放端口,绑定域名外加隐藏地址,所以就赶紧上了Argo。

配置VIPER

因为viper使用的是自签名证书,如果直接转发https://127.0.0.1:60000是不行的,会报证书错误。所以要先进容器内改nginx的配置文件,关掉ssl,改成http。

docker ps #查看容器名
docker exec -i -t viper-c /bin/bash
#下面是在容器内的操作
cd /root/viper/Docker/
nano viper.conf

用Ctrl+Shift+_跳转到第7行。

.......
server {
        include /root/viper/Docker/nginxconfig/viper.conf;
        ssl off;    #把这里由on改成off
        ssl_certificate /root/viper/Docker/nginxconfig/server.crt;
.......

最后记得重载nginx的配置文件,让改动生效。

nginx -s reload
exit #退出容器内

配置Argo

安装

Cloudflared 是源服务器和 Cloudflare Argo Server 的连接软件。

你可以参考这里的文档。

官方文档
Docs

Github Release
Downloads

配置Tunnel

cloudflared tunnel login #先登录,并且选择example.com的域名
cloudflared tunnel create viper
cloudflared tunnel route dns viper vip #通过vip这条隧道,自动在cloudflare中添加一条指向vip.example.com的CNAME记录

确认Tunnel配置

启动隧道试试,如果没问题就继续。

cloudflared tunnel --name viper --url http://127.0.0.1:60000

然后可以访问vip.example.com查看效果,如果没有问题就继续。
这样启动隧道只是一个临时的措施,所以我们要持久化。

持久化Argo

先运行cloudflared tunnel list记一下Tunnel的ID是多少。

sudo cloudflared service install
nano /etc/cloudflared/config.yml

按照下面这样写,该改的改一下

tunnel: <Tunnel-UUID>
credentials-file: /root/.cloudflared/<Tunnel-UUID>.json

ingress:
  - hostname: vip.example.com
    service: http://127.0.0.1:60000
  - service: http_status:404

重启cloudfalred服务

sudo systemctl restart cloudflared && sudo systemctl enable cloudflared

文章作者: Tokisaki Galaxy
版权声明: 本博客所有文章除特別声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Tokisaki Galaxy !
评论
  目录