Cloudflare橙色云启用后 Nginx Proxy Manager的IP白名单和黑名单配置指南 在使用Cloudflare的橙色云（即启用CDN功能）后，许多用户发现Nginx Proxy Manager中的Access Lists（IP地址白名单/黑名单）失效。这通常是因为Cloudflare的代理服务器屏蔽了真实的客户端IP地址，导致Nginx无法直接获取客户端的真实IP，而只能看到Cloudflare的IP地址。本文将介绍如何配置Nginx，以便它能够正确识别和使用Cloudflare传递的真实客户端IP地址，从而确保访问控制列表的正常工作。配置Cloudflare的真实IP头要解决这一问题，首先需要在Nginx中配置，以便它能够识别Cloudflare传递的真实客户端IP地址。Cloudflare通常通过CF-Connecting-IP或X-Forwarded-For头传递真实的客户端IP。以下是具体步骤：在Nginx配置文件中添加以下内容# Cloudflare IPv4 addresses set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 104.16.0.0/13; set_real_ip_from 104.24.0.0/14; set_real_ip_from 108.162.192.0/18; set_real_ip_from 131.0.72.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 162.158.0.0/15; set_real_ip_from 172.64.0.0/13; set_real_ip_from 173.245.48.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 190.93.240.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; # Cloudflare IPv6 addresses set_real_ip_from 2400:cb00::/32; set_real_ip_from 2606:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; set_real_ip_from 2a06:98c0::/29; set_real_ip_from 2c0f:f248::/32; real_ip_header CF-Connecting-IP;CloudflareIP 范围 https://www.cloudflare.com/zh-tw/ips/这些IP段是Cloudflare的代理服务器IP地址，通过set_real_ip_from指令，Nginx将信任这些IP地址，并从CF-Connecting-IP头中获取真实的客户端IP。更新Nginx Proxy Manager配置确保Nginx Proxy Manager能够正确使用上述配置。如果Nginx Proxy Manager允许自定义Nginx配置片段，将上述配置片段添加到相应位置。调整访问控制列表确保你的访问控制列表（白名单/黑名单）中的IP地址策略基于真实的客户端IP，而不是Cloudflare的IP地址。实际使用场景访问控制公司A希望只允许公司内部IP地址访问其网站。他们启用了Cloudflare的CDN加速，但发现所有访问请求的IP地址都显示为Cloudflare的代理服务器IP，导致访问控制列表失效。通过上述配置，Nginx能够正确识别真实的客户端IP，从而确保只有公司内部IP地址能够访问网站。日志记录和分析公司B使用Nginx记录访问日志以进行流量分析和安全监控。在启用Cloudflare CDN后，访问日志中显示的IP地址都是Cloudflare的代理服务器IP。通过上述配置，Nginx能够记录真实的客户端IP，从而提供准确的流量分析和安全监控数据。防止DDoS攻击公司C遇到DDoS攻击，攻击流量通过Cloudflare的代理服务器进入，导致Nginx的防护措施失效。通过正确配置Nginx以识别真实的客户端IP，公司C可以更有效地应用防火墙规则，识别并阻止攻击IP，从而提升防护效果。结论通过正确配置 Nginx 以识别 Cloudflare 传递的真实客户端IP地址，可以解决因启用 Cloudflare CDN 功能导致的访问控制列表失效问题。这不仅能确保访问控制列表的正常工作，还能提升日志记录、流量分析和安全防护的准确性。希望本文对你配置 Nginx Proxy Manager 以支持 Cloudflare CDN 功能有所帮助。

Docker 安装 Nginx Proxy Manager 1.背景对于想自己搭建网站的朋友，使用自己个性化域名的朋友，使用Nginx的不在少数，可能也会使用Apache来管理自己的网站，但Nginx轻量又好用，还支持正向/反向代理，谁不喜欢呢？Nginx Proxy Manager就是一款让你能通过网页的一些设置，完成网站的代理配置，无需自己再手动安装Nginx修改配置文件了，大大提高了效率。项目也是开源的，不用担心项目的安全性。2.安装docker安装依然使用我们的老伙计 docker ，但这次要使用到 docker 的伙计: docker-compose，使用 docker-compose 可以帮助我们编排自己的容器，通过一个简单的脚本启动复杂的程序，自动处理依赖项目，从而简化操作。服务器上执行以下命令安装 docker, 安装完成后执行第二条命令，启动并设置开机启动 docker。curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun systemctl enable --now docker安装docker-composesudo curl -L "https://github.com/docker/compose/releases/download/v2.1.1/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose sudo chmod +x /usr/local/bin/docker-compose ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose检查一下安装是否成功# 查看docker版本 docker -v # 查看docker-compose版本 docker-compose -v如果未能查看 docker-compose 版本可能是因为 /usr/local/bin 没有加入到系统环境变量export PATH=/usr/local/bin:$PATH3.部署Nginx Proxy Manager创建一个目录用于存放 Nginx Proxy Manager 的配置和项目文件mkdir -p /opt/docker/NginxProxyManager && cd /opt/docker/NginxProxyManager创建一个 docker-compose.yml 文件vi docker-compose.yml粘贴以下内容：version: '3' services: app: image: 'jc21/nginx-proxy-manager:latest' restart: unless-stopped ports: - '80:80' - '81:81' - '443:443' volumes: - ./data:/data - ./letsencrypt:/etc/letsencrypt按下键盘上的 ESC 键和 SHIFT+: 键，输入 wq 保存退出。请注意文件间的缩进，如果缩进不正确，可以使用文本编辑器编辑好后上传到服务器上。创建 docker 容器docker-compose up -d4.访问控制页面浏览器输入你的ip:81，如果有防火墙，可以临时开放 81 的 tcp 端口。初始的用户和密码如下：Email: admin@example.com Password: changeme