参考Cloudflare官方文档在配置文件的http块中加入

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2c0f:f248::/32;
set_real_ip_from 2a06:98c0::/29;

# use any of the following two
real_ip_header CF-Connecting-IP;
#real_ip_header X-Forwarded-For;

未来Hacc的评论：

嘛，其实就算不这么做后端的应用也能感知到客户端的真实IP，因为可以直接读CF-Connecting-IP或者是X-Forwarded-For头（如果X-Forwarded-For没有被Nginx覆盖掉的话）。但如果我没记错的话，Nginx本身不会把X-Forwarded-For所记录的地址视为客户端的真实IP，因此在Nginx日志里看到的地址全都是CDN的地址，ngx_http_realip_module模块就是让nginx本身去读所设定的某个头，然后将其视为客户端的IP，然后为了安全起见，可以只信任白名单内地址段传入连接的头，其余情况依旧把IP层的源地址视为客户端地址。

还是像之前说的那样，如果是Cloudflare的话，cloudflared打隧道就好了，set_real_ip_from直接填本地回环地址，不需要定期更新Cloudflare的地址段。

自动配置的IPv4是完美的，可自动配置的IPv6就出事了。。。之前一直没有用过IPv6做过网站，直到最近脑抽突然想用Cloudflare的IPv6网关时才将问题暴露出来。

服务器可以ping外界IPv6主机，但外界IPv6主机却没法ping服务器。用systemctl status dhcpcd查看dhcpcd的日志后发现，这玩意自动获取的IPv6地址和Vultr给的固定IPv6地址不是一个地址。。。

用man DHCPCD.CONF查询，得到dhcpcd的静态地址配置方法。在/etc/dhcpcd.conf的尾部加入如下内容

interface eth0 #网卡名
static ip6_address= #你的静态IPv6地址

然后sudo systemctl restart dhcpcd重启dhcpcd后就OK了。

然而博主在配置Nginx时并没有监听IPv6地址，因此想要使用Cloudflare的IPv6网关还得要在配置文件中的server块中有

listen [::]:80;

或者是

listen [::]:443 ssl http2;

未来Hacc的评论：

现在的我作为Systemd教徒应该就Systemd全家桶一把梭了。

虽然现在已经没法搞清楚当时到底发生了啥导致VPS可以ping外部，但外部没法ping VPS了。但再次发动水晶球占卜，我猜大概应该是dhcpcd根据Vultr的RA自己SLAAC配了一个地址，这个地址也是有效的，但它不是Vultr管理面板上所显示的分配给VPS的地址，从而导致了这个问题。

博主首先想到的是通过Nginx来屏蔽。

首先通过https://www.cloudflare.com/ips/来get到Cloudflare的IP段。

将allow指令添加到配置文件的http块下，依次添加Cloudflare的IP段。

allow 103.21.244.0/22;
…
allow 2400:cb00::/32;
…

然后再添加

deny all;

访问源站，服务器确实返回了403，可这是在https握手之后才返回的。。。

证书暴露了。。。

然后想到让Nginx返回444，说不定可以在握手前断开与白名单外主机的连接。

参考Ilham Sulaksono的回答后，在配置文件的http块中加入

geo $remote_addr $allowed_trafic {
default false;
103.21.244.0/22 true;
…
2400:cb00::/32 true;
…
}

来添加Cloudflare的IP段

在每个server块下添加

if ( $allowed_trafic = 'false'){
return 444;
}

重启Nginx后发现。。。

依然是在握手后才断开连接。。。

好吧，服气。。。

未来Hacc的评论：

当然会这样，Nginx这边在http上屏蔽无论如何都是在会话层的TLS之后了

看来只能用iptables屏蔽了。。。

依次输入

sudo systemctl enable iptables
sudo systemctl enable ip6tables

启用iptables

未来Hacc的评论：

其实这里只是启用了加载iptables规则的systemd服务

然后输入

sudo touch /etc/iptables/iptables.rules
sudo touch /etc/iptables/ip6tables.rules

新建一个空配置文件

再依次输入

sudo systemctl start iptables
sudo systemctl start ip6tables

启动iptables

未来Hacc的评论：

现在想的话，其实应该restart比较合适，因为此时这个服务可能已经启动了，这种情况下刚刚清空iptables配置的操作将不会生效。

输入sudo bash提权

参考Frank Rietta的文章还有Cloudflare的文档用root权限执行以下指令来将Cloudflare的IP段以及本地回环地址添加进iptables。

for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -p tcp -s $i --dport http -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v4`; do iptables -I INPUT -p tcp -s $i --dport https -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -p tcp -s $i --dport http -j ACCEPT; done
for i in `curl https://www.cloudflare.com/ips-v6`; do ip6tables -I INPUT -p tcp -s $i --dport https -j ACCEPT; done

然后再输入下列指令来丢弃掉白名单外主机的数据包

iptables -A INPUT -p tcp --dport http -j DROP
iptables -A INPUT -p tcp --dport https -j DROP
ip6tables -A INPUT -p tcp --dport http -j DROP
ip6tables -A INPUT -p tcp --dport https -j DROP

此时设置就已经完成了，可设置还没有保存，还需要输入

iptables-save > /etc/iptables/iptables.rules
ip6tables-save > /etc/iptables/ip6tables.rules

将设置保存到配置文件

未来Hacc的评论：

如果是Cloudflare的话，感觉在一般的场景下直接用开源的cloudflared打个隧道就好了，这样不仅不用定期更新Cloudflare的IP段，ISP还没法通过SNI读到服务器所托管的网站域名，更隐蔽。

try_files $uri $uri/ /index.php?$args;

使量产工具检测到硬盘的过程如下：

短接JP1-1 → 硬盘上电 → 取消短接 → 打开量产工具 → 点击Scan → 检测到硬盘

其余开盘过程参考SM2246EN通用开盘教程

据说联通访问国外服务器很快，博主就趁着40G的高速流量还在，赶紧跟手头上的电信卡做一个对比测速。

位置：北京

测试手机：Nexus 6（已破解Band1）

电信卡归属地：湖南

联通卡归属地：北京

代理服务器：自建SS（开启TCP-BBR）

测试时间：2:01 - 2:16

联通测速：

联通出国测速：

测速基带信息：

电信测速：

电信出国测速：

测速基带信息：