Обзор Cloudflare, подключение к Nginx
Cloudflare — американская компания, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS. Сервисы Cloudflare работают как обратный прокси (reverse proxy) для сайта. Cloudflare охватывает более 100 стран, а прямые подключения к платформе имеют более 11 тысяч сетей, включая хостинг-провайдеров и крупных предприятий.
Веб-мастера часто используют его, тем более что у сервиса есть бесплатный тариф, которого вполне хватает для базовых нужд.
В это статье подразумевается, что вы уже добавили свой домен в Cloudflare и у вас настроен Nginx или Apache.
Основные возможности Cloudflare:
- Защита от DDoS-атак: Сам факт подключения сайта к сети Cloudflare уже дает определенный уровень защиты от DDoS . Злоумышленники не видят IP-адрес сайта, поэтому вынуждены атаковать его через сам сервис. Cloudflare в свою очередь фильтрует запросы таким образом, чтобы на сайт попадал только безопасный трафик. Платформа имеет 250 центров обработки данных по всему земному шару, которые используются для кибербезопасности.
- Увеличение скорости с помощью CDN: Cloudflare состоит из системы CDN-серверов, кэширующих статический контент (видео, изображения) и код (HTML, CSS, JavaScript). Когда пользователь отправляет запрос на сайт, служба определяет его местоположение и отправляет ответ из ближайшего клиента CDN-сервера. Благодаря этому уменьшается время отклика сайта и нагрузка на выделенный сервер, хостинг или VPS/VDS, что положительно влияет на показатели скорости.
DNS и статус проксирования
Изменять, добавлять и редактировать ресурсные записи можно в разделе «DNS». Для записей вы можете выбрать один из статусов проксирования:
- Настройка «Proxied» (оранжевое облако) говорит о том, что вместо вашего IP-адреса будет указан адрес Cloudflare. Все запросы проксируются, то есть поступают сначала на сервера компании, а после отправляются на сервер, где сайт фактически размещен.
- «DNS only» (серое облако) означает, что при обращении к домену Cloudflare будет отдавать IP-адрес вашего сервера. Настройки кеширования, Firewall и другие не будут применяться.
Чтобы изменить статус, нажмите на запись для перехода в режим редактирования, кликните на облако для изменения и нажмите «Save».
Как в Cloudflare подключиться к почте, FTP и SSH
При использовании «Proxied» на бесплатном тарифе, подключиться по проксируемому домену к почте, FTP и SSH на хостинге не получится. Cloudflare пропускает запросы к вашему сайту только по 80 и 443 порту, поэтому используйте для подключения к почте и другим сервисам IP-адрес сервера, на котором находится ваш аккаунт (указан в Панели управления, раздел «Сайты и домены» → «IP-адреса»).
3 режима работы Cloudflare
На приведённых ниже диаграммах показаны различные способы обработки IP-адресов с Cloudflare:
1 режим. Проксирование Cloudflare выключено: исходные IP-адреса посетителей появляются в логах вашего веб-сервера. (Original vistors IPs appear in your logs).
2 режим. Обратный прокси Cloudflare включен, но расширения на вашем веб-сервере не настроены: вместо исходных IP-адресов посетителей в логах вашего веб-сервера вы будите видеть IP Cloudflare.
3 режим. Обратный прокси Cloudflare включен, и вы настроили расширения на вашем веб-сервере: исходные IP-адреса посетителей появляются в логах вашего веб-сервера.
Используйте mod_remoteip для настройки связи между Cloudflare и веб-сервером Apache.
Как настроить связку Cloudflare с Nginx
Стандартная проблема всех обратных прокси (reverse proxy) в том что, сервер за прокси не видит реальный IP адресс посетителя сайта. Соответственно и решение этой проблемы тоже стандартное и хорошо описано на английском языке в официальной документации Cloudflare: Restoring original visitor IPs (Восстановление исходных IP-адресов посетителей)
Пошаговая настройка связки Cloudflare (в режиме обратного проксирования) с веб-сервером Nginx.
Копируем текущий список IP адресов Cloudflare (раздел Nginx). Раскоментируем строку real_ip_header X-Forwarded-For; и вставим в конфигурационный файл Nginx nginx.conf в раздел http.
set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 104.16.0.0/13; set_real_ip_from 104.24.0.0/14; set_real_ip_from 108.162.192.0/18; set_real_ip_from 131.0.72.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 162.158.0.0/15; set_real_ip_from 172.64.0.0/13; set_real_ip_from 173.245.48.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 190.93.240.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; set_real_ip_from 2400:cb00::/32; set_real_ip_from 2606:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; set_real_ip_from 2c0f:f248::/32; set_real_ip_from 2a06:98c0::/29; #use any of the following two #real_ip_header CF-Connecting-IP; real_ip_header X-Forwarded-For;
Применяем конфигурацию
systemctl reload nginx
Всё! Проверяем логи Nginx, там вы должны увидеть настоящие IP посетителей вашего сайта.
Читайте также: Где получить SSL сертификат бесплатно? Использование центра сертификации Let’s Encrypt, Бесплатные Быстрые Публичные DNS Сервера (DNS Leak).
Работа с электронной почтой в Cloudflare
В Cloudflare доступна маршрутизация электронной почты. С помощью этой опции можно создавать множество новых электронных ящиков на домене и перенаправлять письма из них на рабочие адреса. Это позволяет скрыть реальный почтовый ящик и обезопасить его от попыток взлома.
Чтобы подключить маршрутизацию, нужно ввести новое имя для ящика, который хотите создать, в поле «Custom address» и адрес рабочей почты, на который планируете отправлять письма, в поле «Destination address». После этого вы получите письмо для верификации почты для перенаправления. Верификация происходит только один раз, после чего можно добавлять в этот ящик любое количество адресов.
Вторая полезная функция – это безопасность почты. Эта функция помогает защищать почту от попыток взлома и атак фишинга. Для работы с ней необходимо отправить запрос на использование пробной версии.
Faq 1: Как настроить свой сертификат на Сloudflare?
Вопрос: Имеется несколько купленных сертификатов для доменов/поддоменов. Если в настройках cloudflare указать SSL - Full, то все прекрасно работает, но подставляется сертификат от Сloudflare.
Ответ: Установите ваш купленный сертификат у себя на сервере, потом в настройки CloudFlare → Crypto → SSL выбираете Strict.
Ссылки: Настройка Cloudflare для сайта

Friendhosting - Разумные цены на хостинг
VDS/VPS сервер от 3.49€ в месяц. Много ресурсов. Высокая надежность. Гибкое управление. Удобная оплата. Настройка под вас!
friendhosting.net
Антидетект браузер Dolphin{anty} бесплатно до 10 профилей
Dolphin разработан для работы с такими сложными ресурсов, как Google, Facebook и Coinlist.
Английский для IT‑специалистов по Skype
Персональные занятия по разумным ценам. 80% разговорной практики. Персональный график!
skyeng.ru