IPv4 和 IPv6 是两种不同的互联网协议版本，它们之间不直接兼容。因此，一个使用 IPv4 的设备无法直接访问仅支持 IPv6的站点，同理，一个使用 IPv6 的设备无法直接访问仅支持 IPv4的站点。而当我们想将请求从IPv4地址发送到IPv6地址时，由于IPv4和IPv6过渡不兼容而无法实现。为了解决此问题，需要通过一些技术才能实现IPv4和IPv6互通。这些技术包括：双栈技术、隧道和转换三种技术。

以下列出可行方案

WARP好处

记录：让纯v6/v4的小鸡互通支持

• 支持 chatGPT，解锁奈飞流媒体
• 避免 Google 验证码或是使用 Google 学术搜索
• 可调用 IPv4 接口，使青龙和V2P等项目能正常运行
• 由于可以双向转输数据，能做对方VPS的跳板和探针，替代 HE tunnelbroker
• 能让 IPv6 only VPS 上做的节点支持 Telegram
• IPv6 建的节点能在只支持 IPv4 的 PassWall、ShadowSocksR Plus+ 上使用

warp 运行脚本

首次运行

1

wget -N https://gitlab.com/fscarmen/warp/-/raw/main/menu.sh && bash menu.sh [option] [lisence/url/token]

再次运行

1

warp [option] [lisence]

举例：想为 IPv4 的甲骨文添加 Warp 双栈，首次运行

1

wget -N https://gitlab.com/fscarmen/warp/-/raw/main/menu.sh && bash menu.sh d

刷日本 Netflix 运行

1

warp i jp

warp-go 运行脚本

首次运行

1

wget -N https://gitlab.com/fscarmen/warp/-/raw/main/warp-go.sh && bash warp-go.sh [option] [lisence]

再次运行

1

warp-go [option] [lisence]

Cloudflare api

Cli-API 使用指南，浏览器带参数访问，或者使用 curl 命令可以执行 Warp API 请求，

Shell-API 运行脚本

1

wget -N https://gitlab.com/fscarmen/warp/-/raw/main/api.sh && bash api.sh [option]

刷 Netflix 解锁 WARP IP 的方法

• 可以用另一个通过 WARP 解锁流媒体的一键脚本: 【刷 WARP IP】 - 为 WARP 解锁流媒体而生
• 以刷 香港 hk 为例， 运行 warp i。建议在 screen， nohup 下后台运行
• 如果长时间仍然未刷出解锁IP，可以查查 CloudFlare 当地是否在维护调路由：https://www.cloudflarestatus.com/

WARP socks5 或 interface 分流模板及解锁 chatGPT 的方法

{    "outbounds":[        {            "protocol":"freedom"        },        {            "tag":"warp",            "protocol":"socks",            "settings":{                "servers":[                    {                        "address":"127.0.0.1",                        "port":40000 // 填写你的 socks5 端口                    }                ]            }        },        {            "tag":"WARP-socks5-v4",            "protocol":"freedom",            "settings":{                "domainStrategy":"UseIPv4"            },            "proxySettings":{                "tag":"warp"            }        },        {            "tag":"WARP-socks5-v6",            "protocol":"freedom",            "settings":{                "domainStrategy":"UseIPv6"            },            "proxySettings":{                "tag":"warp"            }        }    ],    "routing":{        "rules":[            {                "type":"field",                "domain":[                    "geosite:openai",                    "ip.gs"                ],                "outboundTag":"WARP-socks5-v4"            },            {                "type":"field",                "domain":[                    "geosite:google",                    "geosite:netflix",                    "p3terx.com"                ],                "outboundTag":"WARP-socks5-v6"            }        ]    }}

{    "outbounds":[        {            "protocol":"freedom"        },        {            "tag":"WARP-interface-v4",            "protocol":"freedom",            "settings":{                "domainStrategy":"UseIPv4"            },            "streamSettings":{                "sockopt":{                    "interface":"CloudflareWARP", // warp 非全局模式填 warp; Client 的 Proxy 模式填 CloudflareWARP; warp-go 填 WARP                    "tcpFastOpen":true                }            }        },        {            "tag":"WARP-interface-v6",            "protocol":"freedom",            "settings":{                "domainStrategy":"UseIPv6"            },            "streamSettings":{                "sockopt":{                    "interface":"CloudflareWARP",                    "tcpFastOpen":true                }            }        }    ],    "routing":{        "domainStrategy":"AsIs",        "rules":[            {                "type":"field",                "domain":[                    "geosite:google",                    "geosite:openai",                    "ip.gs"                ],                "outboundTag":"WARP-interface-v4"            },            {                "type":"field",                "domain":[                    "geosite:netflix",                    "p3terx.com"                ],                "outboundTag":"WARP-interface-v6"            }        ]    }}

{    "outbounds":[        {            "protocol":"freedom",            "tag": "direct"        },        {            "protocol":"wireguard",            "settings":{                "secretKey":"YFYOAdbw1bKTHlNNi+aEjBM3BO7unuFC5rOkMRAz9XY=", // 粘贴你的 "private_key" 值                "address":[                    "172.16.0.2/32",                    "2606:4700:110:8a36:df92:102a:9602:fa18/128"                ],                "peers":[                    {                        "publicKey":"bmXOC+F1FxEMF9dyiK2H5/1SUtzH0JuVo51h2wPfgyo=",                        "allowedIPs":[                            "0.0.0.0/0",                            "::/0"                        ],                        "endpoint":"engage.cloudflareclient.com:2408" // 或填写 162.159.193.10:2408 或 [2606:4700:d0::a29f:c001]:2408                    }                ],                "reserved":[78, 135, 76], // 粘贴你的 "reserved" 值                "mtu":1280            },            "tag":"wireguard"        },        {            "protocol":"freedom",            "settings":{                "domainStrategy":"UseIPv4"            },            "proxySettings":{                "tag":"wireguard"            },            "tag":"warp-IPv4"        },        {            "protocol":"freedom",            "settings":{                "domainStrategy":"UseIPv6"            },            "proxySettings":{                "tag":"wireguard"            },            "tag":"warp-IPv6"        }    ],    "routing":{        "domainStrategy":"AsIs",        "rules":[            {                "type":"field",                "domain":[                    "geosite:openai",                    "ip.gs"                ],                "outboundTag":"warp-IPv4"            },            {                "type":"field",                "domain":[                    "geosite:netflix",                    "p3terx.com"                ],                "outboundTag":"warp-IPv6"            }        ]    }}

WARP+ License 及 ID 获取

以下是使用WARP和Team后 Argo 2.0 的官方介绍:Argo 2.0: Smart Routing Learns New Tricks

引用Luminous大神原话：实际测试WARP+在访问非CF的网站速度上和免费版没有差异，只有在访问CloudFlare的站点时付费版会通过Argo类似的技术通过与目标较近的数据中心前往源站，而免费版是仅限于连接地前往源站，仅此而已。

WARP原理

WARP是CloudFlare提供的一项基于WireGuard的网络流量安全及加速服务，能够让你通过连接到CloudFlare的边缘节点实现隐私保护及链路优化。

其连接入口为双栈（IPv4/IPv6均可），且连接后能够获取到由CF提供基于NAT的IPv4和IPv6地址，因此我们的单栈服务器可以尝试连接到WARP来获取额外的网络连通性支持。这样我们就可以让仅具有IPv6的服务器访问IPv4，也能让仅具有IPv4的服务器获得IPv6的访问能力。

• 为仅IPv6服务器添加IPv4

原理如图，IPv4的流量均被WARP网卡接管，实现了让IPv4的流量通过WARP访问外部网络。

• 为仅IPv4服务器添加IPv6

原理如图，IPv6的流量均被WARP网卡接管，实现了让IPv6的流量通过WARP访问外部网络。

• 双栈服务器置换网络

有时我们的服务器本身就是双栈的，但是由于种种原因我们可能并不想使用其中的某一种网络，这时也可以通过WARP接管其中的一部分网络连接隐藏自己的IP地址。至于这样做的目的，最大的意义是减少一些滥用严重机房出现验证码的概率；同时部分内容提供商将WARP的落地IP视为真实用户的原生IP对待，能够解除一些基于IP识别的封锁。

• 网络性能方面：内核集成＞内核模块＞wireguard-go

项目：fscarmen / warp · GitLab

IPv6 隧道代理

让纯IPv4支持IPv6网络

使用服务：Hurricane Electric 免费 IPv6 隧道代理

它会给命令，直接CVSSH

重审，LEDCDN不归属本博主，博客文笔不代表LEDCDN，文章已经重构，将WAF部分完善了一下，以及修改一些错别字，已投稿,LEDCDN官方已经在文档标注本文以官方为主

小声说说;实际上用户操作面板端有了一个解释文档了。。。

PS：12月修补更新，系统判定有很多开关的，需要注意点，例如缓存你需要真正填写进条件并且保证开启才能正常使用功能

基础设置

添加服务

先讲添加网站模块；

加速域名就是需要绑定的域名

域名协议选择开HTTPS就需要上传证书，证书一般是key和cer格式的，这里可以直接前往ohttps.com注册，申请快速通知支持泛域名

源站信息的话，如果你源站开启了SSL，也就是HTTPS模式，就要把源站协议调整HTTPS(443)协议然后再填写源站IP，当然如果有端口直接IP+端口号即可，如果没有启动，则是HTTP；同时，还支持很多模式

回源主机名如果没有其他需求则是默认跟随CDN服务即可，无需其他的调整，"跟随CDN服务"是指访问源站的站点域名和当前CDN服务保持一致；"跟随源站"是指访问源站的站点域名仍然是填写的源站地址中的信息，不随CDN服务域名改变而改变

然后就是点击DNS，复制下来CNAME解析值后前往域名解析处添加CNAME解析

安全设置

选择HTTP，就可以选择自动跳转https访问服务

选择HTTPS，可以设置网站服务的SSL安全设置，支持启用HTTP2/3，然后TLS选择你需要的版本即可，**加固建议：**启用对TLS 1.2和TLS 1.3的支持，并禁用对TLS 1.0的支持，不懂什么是TLS可以去简单了解一下

点击更多选项进入扩展设置，HSTS是HTTP 严格传输安全，简单说明就是强制只能HTTPS链接；而OCSP Stapling 就是为了解决 OCSP 隐私问题和性能问题而生的，简单说明就是避免了客户端验证会产生的阻塞问题，提升了HTTPS性能

防护设置

首先选择五秒盾，启用五秒盾后可以点击更多选项可以根据自身需求来设置细致的配置

特别要讲

• 单IP最低QPS：当某个IP在1分钟内平均QPS达到此值时，才会触发5秒盾；如果设置为0，表示任何访问都会触发QPS算法：QPS = 总请求数 / 时间段

• 加入IP白名单：选中后，表示验证通过后，将访问者IP加入到临时白名单中，此IP下次访问时不再校验5秒盾；此白名单只对5秒盾有效，不影响其他规则。此选项主要用于可能无法正常使用Cookie的网站

  ---

选择CC防护，启用CC防护后可以点击更多选项可以根据自身需求来设置细致的配置

特别要讲

• 使用自定义拦截阈值：请根据自己的服务需求来设置，否则就不动，当发现源站撑不住就需要下调阈值，服务不正常速度慢等就上调阈值，但是需要你的源站服务器性能足够，不然就出现攻击就炸

• 启用CC无感防护 - 是否启用CC防护，启用后，自动检测并拦截CC攻击

• 更多选项

  • 单IP最低QPS - 当某个IP在1分钟内平均QPS达到此值时，才会触发CC防护；如果设置为0，表示任何访问都会触发
  • 例外URL - 如果填写了例外URL，表示这些URL跳过CC防护不做处理；比如API类的调用不做限制，可以填入 /api/*
  • 限制URL - 如果填写了支持URL，表示只对这些URL进行CC防护处理；如果不填则表示支持所有的URL；比如只想针对搜索URL进行CC防护，可以填入 /search*
  • 检查请求来源指纹 - 在接收到HTTPS请求时尝试检查请求来源的指纹，用来检测代理服务和爬虫攻击；如果你在网站前面放置了别的反向代理服务，请取消此选项
  • 启用GET302校验 - 选中后，表示自动通过GET302方法来校验客户端；适用于网页类的应用，不适用于API应用
  • 使用自定义阈值 - 默认情况下，对CC攻击IP的拦截策略可以在系统集群设置中定义，如果想自己修改，可以选中此选项，并根据自己的需要填入各个时间范围内的请求数限制

WAF设置

防CC攻击简单设置

请根据需求调整，有标识，请不要随意设置此项避免出现验严重报错，（补充，这调的有问题，自己配吧，更合适自己）

CC单URL请求数

CC单URL请求数

随机URL攻击

XSS攻击检测

上传文件扩展名

防止远程执行服务器命令

命令注入

防盗链

这是LEDCDN默认全局开启的策略

某些设置检查可以把局域网下了，主要是个人需求

当然，要是实在服务器太低配了直接开始严防无脑模式吧！

此规则适合静态网站，如果是容易被误判封锁了可以上调高一点，祝您用得愉快，可以加入聊天群

当然，也可以设置启用人机验证

规则示例

只允许某些特定来源的网站访问

这里面就有两个规则：一个是我们允许所有来源为空的访问（也就是用户直接访问网站），第二个就是允许特定域名的来源访问，所以我们要添加的规则就是阻止以下条件的访问：

1. 来源不为空
2. 来源不是我们允许的域名

在规则集里添加的规则如下：

• 规则：
  1. 规则1
     • 参数： 请求来源 - [refererOrigin]
     • 操作符： 正则不匹配
     • 对比值： a\.com|b\.c\.d\.com
     • 这里写的是你允许的域名列表
     • 要符合基本的正则表达式语法
  2. 规则2
     • 参数： 请求来源 - [refererOrigin]
     • 操作符：字符串不等于
     • 对比值：不填留空
• 规则之间的关系：和(And)
• 执行动作：网页网页（PAGE）

禁止访问特定的URL

比如一个网站禁止访问 /hello.html：

• 参数：请求路径 - [requestPath]

• 操作符：字符串等于

• 对比值：/hello.html

• 执行动作：

  1	网页网页（PAGE）

  • 状态码：403

设置后，访问 /hello.html、/hello.html?v=123 之类的URL会显示403，而访问其他URL则正常。

只允许访问特定的URL

比如一个网站只允许访问 /hello.html ，访问其他页面时提示403：

• 参数：请求路径 - [requestPath]

• 操作符：字符串不等于

• 对比值：/hello.html

• 执行动作：

  1	网页网页（PAGE）

  • 状态码：403

设置后，访问 /hello.html、/hello.html?v=123 之类的URL是正常的，访问 /world.html 会显示403。

只允许访问特定的目录

比如一个网站只允许访问 /images/ ，访问其他页面时提示403：

• 参数：请求路径 - [requestPath]

• 操作符：正则不匹配

• 对比值：^/images/ （其中 ^ 在正则中表示开头）

• 执行动作：

  1	网页网页（PAGE）

  • 状态码：403

设置后，访问 /images/test.jpg、/images/test.jpg?v=123 之类的URL是正常的，访问 /images2/test.jpg 会显示403。

编解码

编解码可以对输入的参数值进行二次处理后，再跟对比值进行对比。以下是几个示例：

示例1：判断某个参数值的长度必须大于100

如果要想判断某个参数值的长度大于100，可以使用编解码的”计算长度”，规则内容如下：

• 参数：单个URL参数值-[arg]
• 参数名：name （比如要判断的是URL中的参数name）
• 编解码：计算长度
• 操作符：数值大于
• 对比值：100

这样当用户输入的name参数长度大于100的时候就会匹配到此规则。

示例2：判断某个用户输入的某个Base64内容必须包含某个字符串

当用户输入Base64内容的时候，使用常规的手段无法进行对比，所以可以使用编解码中的”BASE64Decode”，规则内容如下：

• 参数：单个URL参数值-[arg]
• 参数名：name （比如要判断的是URL中的参数name）
• 编解码：BASE64Decode
• 操作符：包含字符串
• 对比值：HelloWorld

这样当用户输入类似于”SGVsbG9Xb3JsZA==“的内容时，就能匹配到该规则。

示例3：判断经过转义的URL是否匹配某个规则

如果用户输入的内容中是经过转义的，可能会对我们的判断有所影响，比如：

1

id%3D%3B+DELETE+FROM+abc

针对这种情况，我们可以使用编解码中的URLDecode来对输入值进行解码后再对比：

• 参数：所有URL参数组合-[args]
• 参数名：name （比如要判断的是URL中的参数name）
• 编解码：URLDecode
• 操作符：正则匹配
• 对比值：DELETE FROM

经过解码后，上面的一段内容会被解码成：

1

id=; DELETE FROM abc

所以就会和我们写的正则相匹配

其他设置

随便说说就行，因为基本上都有标注了，主打就是出问题就关闭，一般需要设置的需求很少

• 内容压缩

如果启动了发现网站不正常就关闭，亦或者自行调整自己的需求，比如说WP博客程序网上就有很多的设置要求，都一一列出给你们了

• 自定义页面

这是一个可以让你自由自定义网站某状态码下的页面，比如说常见的404，你可以相应状态码是404然后自定义自己想要的404页面，又或者是502等报错，来给访客展示这个状态码下你想转告访客的信息

Websocket

WebSocket是一种网络传输协议，可在单个TCP连接上进行全双工通信，位于OSI模型的应用层；使得客户端和服务器之间的数据交换变得更加简单，允许服务端主动向客户端推送数据，常见使用场景就是实时聊天工具，这样不用你刷新了才看得到别人新发的信息

设置完这些基本上就已经可以使用了

常见问题

502 Bad Gateway 是怎么回事？

出现 502 Bad Gateway 通常说明源站无法连接，可以在访问日志里查看详情（如果开启了访问日志的话）。此时，请检查：

1. 你有没有在源站中设置源站；
2. 你是否在源站设置中设置了源站的专属域名，导致用户访问专属域名以外的域名时无法匹配到源站；
3. 你填写的源站的协议、域名、端口等信息是否正确；
4. 检查源站是否返回了502；
5. 通过 curl 或者 wget 等工具在边缘节点上直接访问源站URL，检查在边缘节点上是否能正常访问源站；
6. 如果源站设置有防火墙或者限流设置，请关闭或者设置边缘节点为白名单。

504 Gateway Timeout 是怎么回事？

出现 504 Gateway Timeout 通常说明源站连接超时，可以在访问日志里查看详情（如果开启了访问日志的话）。此时，请检查：

1. 检查源站的协议、域名、端口是否正确；
2. 源站是否返回了504；
3. 通过 curl 或者 wget 等工具在边缘节点上直接访问源站URL，检查在边缘节点上是否能正常访问源站；
4. 如果源站设置有防火墙或者限流设置，请关闭或者设置边缘节点为白名单。

在访问日志详情（访问日志后面图标点开）中"综合信息"页面会给出具体的错误，通常是：

• dial tcp: xxx.xxx.xxx.xxx .. i/o timeout - 指的是节点通过TCP连接源站超时；通常是节点和源站的网络连接状况不佳，也有可能是源站设置了一些限流、限速措施，导致边缘节点无法正常连接源站；
• dial tcp: lookup example.com on xxx.xxx.xxx.xxx - 指的是节点通过TCP连接域名解析服务超时，请检查节点设置的域名解析服务服务器地址是否正确、是否可以正常连接（Linux 上通常可以查看 /etc/resolv.conf ）；
• dial udp: lookup example.com on xxx.xxx.xxx.xxx - 指的是节点通过UDP连接域名解析服务超时，请检查节点设置的域名解析服务服务器地址是否正确、是否可以正常连接（Linux 上通常可以查看 /etc/resolv.conf ）；
• tls handshake timeout - TLS握手超时

使用CDN后报头无法读取？

有些自定义的报头经过CDN之后，源站无法读取，可能的原因是「LEDCDN」内容分发会自动将用户自定义的报头名称换为标准的报头，比如用户的请求中含有：

1
2

auth-key: MTIzNDU2
X-WWW-Echo: Helo

那么，经过CDN之后，源站接收到的报头会变成：

1
2

Auth-Key: MTIzNDU2
X-Www-Echo: Helo

在HTTP/2中在浏览器端查看的报头可能全部是小写的，但是实际在传输中报头都是首字母大写的。

知道原因后，我们就有了解决方案：

• 方法1：修改源站的程序，从原先不标准的报头名称改为标准的报头名称，比如从 auth-key 改为 Auth-Key；
• 方法2：在网站设置"HTTP报头" – "请求报头"中自定义一个新的非标准报头，比如名称为auth-key，值为${header.Auth-Key}，这样可以强行添加一个非标准报头在请求中，源站接收到的就是非标准的auth-key。

使用CDN后浏览器无限重定向？

如果使用CDN后，浏览器端显示Too Many Redirects等无限重定向的现象，那么常见的可能原因有如下几个：

1. 可能原因1：源站中设置的源站域名和CDN域名一致：如果源站的域名和用户访问CDN的域名是一样的，那么CDN将无法正常读取源站；请务必检查源站设置，防止源站中域名配置和CDN冲突；
2. 可能原因2：源站地址是HTTP，但是在源站设置了自动跳转到HTTPS，所以导致源站一直在HTTP-HTTPS之间不断跳转，这种情况下，有以下几个解决方法：
   1. 取消源站的自动跳转设置（或者根据当前访问域名来判断是否跳转，而不是全部强制跳转）；
   2. 源站地址改为HTTPS的，防止源站自动跳转。

出现 ERR_SSL_PROTOCOL_ERROR 错误是怎么回事？

如果你在浏览器上打开网站出现类似于以下的错误：

1
2
3

此网站无法提供安全连接
xxx.com 发送的响应无效。
ERR_SSL_PROTOCOL_ERROR

通常原因：

1. 可能开启了网站443端口，但是没有上传SSL证书导致，你可以上传证书或者关闭443端口来解决此问题；
2. 你没有在对应的网站里绑定当前访问的域名；
3. 可能错误地在HTTP里将端口设置为443，请改为在HTTPS里设置这个端口。

开启HTTPS后浏览器提示 ERR_SSL_VERSION_OR_CIPHER_MISMATCH

通常的几个原因：

• 没有上传对应域名的SSL证书导致，请上传证书后再试；
• 绑定的域名没有填写正确，请在"域名"设置里查看域名是否填写正确、是否有同一个域名绑定多个服务的情形。

已经上传了证书但是浏览器提示不安全

如果已经在管理系统绑定了域名，且已经上传此域名对应的证书，在浏览器上访问时仍然提示"不安全"类似字样，可能的几个原因：

1. 你访问的是HTTP网址，而不是HTTPS网址，比如 http://你的域名，此时请换成HTTPS访问，直接输入 https://你的域名 来验证你的HTTPS设置是否成功；如果使用HTTPS访问成功，你只需要在网站设置里设置让HTTP自动跳转到HTTPS即可；
2. 你访问的域名没有在"域名"设置里加入；
3. 你访问的域名证书不正确。

源站提示无法找到域名

如果源站提示 Invalid Hostname 之类的错误，或者提示找不到对应的网站，或者显示的是别的域名对应网站的内容，原因是你没有设置正确的回源主机名。默认情况下，回源主机名和终端用户访问的域名一致，但如果你的源站不支持用户直接访问的域名的话，可以在"源站" – "更多设置"中统一修改回源主机名，修改为源站域名；如果你每个源站域名不一样的话，可以点开修改每个源站，然后设置对应的回源主机名；如果源站使用的是特殊的端口，那么你设置的回源主机名中可能也需要添加对应的端口（比如 example.com:9200）。

499是什么错误？

客户端在发送请求过程中取消请求的时候，会记录一个499，通常可以忽略。

后续需要补充可以留言，我会更新此文章！其实也就水水文章罢了，有错误点一定说，我立马去改正

前提

我的博客框架是基于静态博客Hexo程序，一个非常简洁强大的博客框架

主题使用的是 🦋 A Hexo Theme: Butterfly，基于最新版本使用

（实际上旧版本更好点，很多教程基于旧版本所以导致我很多都不适配）

正文

实际上，洪哥已经专门的去整合过了，但是有的教程链接没法打开，或有些教程有的萌新是真的没法看懂(大多数都是技能树没点齐全导致自己没头脑)

列出我使用的美化文章，方便使用后续更新修改，仅供记录

右键美化

不多做补充，文章写的十分详细，包块需要在什么文件添加什么代码/操作

页脚翻页时钟计时

添加侧边栏电子钟

后续可以通过配置文件进行开关，本站是已经弃用了这个模块

外挂标签

什么是外挂标签？简单说就是用于各种模块组件，例如：

动态分类条

这里我修改了洪哥的代码才实现的适配，不做修改可能会导致下边没用空隙贴着文章，或有字体显示不平均，大家可以自行修改即可，不懂多问问

首页置顶文章

文章个性名片

注意，糖果屋店长教程默认名片显示在版权信息上方，如果想像我这样调整至下方，就要把/themes/butterfly/layout/post.pug 文件，把店长要添加的代码调至这个地方即可

分类条及外链卡片

要是觉得店长的外联卡片不好看，可以尝试一下柳哥的

末尾

目前截止至2024/8/23的修改美化了，如果有你需要的也可以做个参考，后面有空在考虑继续修改

挺久没更新了，小水一下

往往我们需要使用CDN进行网站加速、防护，但是很多CDN是对标一个地区进行优化，例如亚太CDN，那么对于北美等其他地域则是优化不太友好，同时遇到攻击如果屏蔽海外，也可能会出现一些问题，然后就利用使用双CDN加速，国内用户走国内CDN加速，国外用户走CloudflareCDN加速

Cloudflare ： 毫无疑问，这家CDN提供商是地表最强的，他们提供免费CDN、免备案CDN和高防御CDN服务。在国内，他们秒杀一线厂商

国内资本CDN ：主流的CDN提供商主要专注于优化国内线路，提供按量、按次、按时段等不同收费方式。除了基础CDN服务外，还提供各种额外收费项目。优点在于提供快速可靠的服务

添加境外解析

一句概括，如果你已经配置了站点，下滑找到Cloudflare 名称服务器，记录NS值、然后前往你的域名运营商添加记录。

你猜猜我为什么要放语言在旁边

记录类型选NS ，主机记录填写博客前缀如：www ，解析线路选境外 ，记录值填写上一步记下的NS值 ，确认无误后点击确认 即可。

回到Cloudflare的DNS 页面，添加一个A记录 ，同样输入博客名前缀www ，IP地址填写主机地址 ，代理状态的小云朵一定要点亮为橙色 ，至此博客国外访问加速已经设置完毕。

添加默认解析

顾名思义，就是正常的去添加你的CDN，解析线路选择默认即可，首先在你的CDN添加好站点

设置好防御策略，然后前往域名添加CNAME解析即可

温馨提示：
本文所述内容具有依赖性，可能因软硬条件不同而与预期有所差异，故请以实际为准，仅供参考。

使用 CDN，一般都是出于加速和安全防护的目的，但是经常一些有意无意的配置导致源站 IP 暴露，致使 CDN 防护失效，本文将探讨如何更好地保护源站 IP 安全。

泄露方法

下面简单描述一下常见的一些扫源站的法子，不过不局限于这些，这是博主已知的范围

扫描站点

介绍一个很让人恼的站点：Censys - Security starts with visibility

作用：通过不间断的扫描来记录 IP 等信息，因此在这里可以找到与你网站相关的很多东西

意味着你服务器只要A记录过都可能已经暴露了，这时候你再套CDN也无济于事了

这也就意外着 CDN 都防不住，而且能实现这个功能的网站或工具不限于 Censys 一家。因此我们就要想办法尽量减少各个信息链的关联

通过默认

Nginx 服务器本身工作原理，当未设置默认网站default_www时，通过 IP 可直接访问建立的第一个网站，而当你在 IP 前加上 https 访问时，Nginx 会自动返回该网站的 https 证书，从而暴露相关域名信息。

邮件泄露

收件人可通过查看此处找到你的服务器IP，因此一般的smtp会导致泄露

解决方法

这会尽力的去保护你的源站不至于泄露，如果有更好的方案或者可以下面留言，我会加以更新！

白名单

最暴力的方法，你用的啥 CDN，就利用防火墙只允许 CDN 的回源 IP 访问自己的服务器，但是会很麻烦，如果说CDN运营商会不停的更换IP的话

IP证书

如果你是宝塔面板，可以在宝塔上创建一个站点，随便输入域名，然后自签一个证书，更换默认站点

放出我这里使用的证书供大家使用（哈哈

密钥(KEY)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

证书(PEM格式)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

-----BEGIN CERTIFICATE-----
MIIEMTCCAxmgAwIBAgIRAIpP63oyckkUvKs4UpxQ+xYwDQYJKoZIhvcNAQELBQAw
XjELMAkGA1UEBhMCQ04xDjAMBgNVBAoTBU15U1NMMSswKQYDVQQLEyJNeVNTTCBU
ZXN0IFJTQSAtIEZvciB0ZXN0IHVzZSBvbmx5MRIwEAYDVQQDEwlNeVNTTC5jb20w
HhcNMjIwMTEwMDU1MDE2WhcNMjcwMTA5MDU1MDE2WjBNMQswCQYDVQQGEwJDTjE+
MDwGA1UEAww15Yir5omr5LqGLuWKs+i1hOeahOe9keermeS4jeaYr+S9oOiDveaJ
q+W+l+WIsOeahC5jbm0wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDc
kLV/AB/akUJmxEcGjE1SrZYJnOh+Gty0eiTtzYldrBY5Br2S9ggqQSdY4h8d+aIX
7oIYOvjIKC/XuqzqazaLeIhVLm7FqsyntNZBJFF5GrlgfguvSwgejm1aFDlMNSZx
UMpXBAhVkXXqY/drmB0pN/071Mgay31MHm15UZ/BcJvIFl+8prp1bhyrScudtzzm
Mj5v0NGrbXD9R+vABsyMXkLACtOVbxaeRSQqIVcTIzPaavgDs6KI+6EVxje2LCRl
LX9Glslw2mUtxH/9JYQt798q6sBWKdpmxHQ2x8szcAOgBlXYWdioU/RKWaOiktyu
vR0LIHLvvmOzNLOSR0XxAgMBAAGjgfowgfcwDgYDVR0PAQH/BAQDAgWgMB0GA1Ud
JQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDAjAfBgNVHSMEGDAWgBQogSYF0TQaP8Fz
D7uTzxUcPwO/fzBjBggrBgEFBQcBAQRXMFUwIQYIKwYBBQUHMAGGFWh0dHA6Ly9v
Y3NwLm15c3NsLmNvbTAwBggrBgEFBQcwAoYkaHR0cDovL2NhLm15c3NsLmNvbS9t
eXNzbHRlc3Ryc2EuY3J0MEAGA1UdEQQ5MDeCNeWIq+aJq+S6hi7lirPotYTnmoTn
vZHnq5nkuI3mmK/kvaDog73miavlvpfliLDnmoQuY25tMA0GCSqGSIb3DQEBCwUA
A4IBAQA6SdaUfOx+Ys2tsVAo2zcSaDokV1d9HGyU+k/G2/J8ZvosMlt7pw90uRrK
MkGffMlss69Sxx2KAm0JVPaGZ60erx99LP04VYpw2PLCa1nibFoCeGS7D9uvEVa0
LiA1aLnMvYr5YjrX//TdAVuZdkfI8yLCZSeQr0v2M9QfcxCxQ1Bf7JDiEduGIYne
pLmPMQ+H9eq+rpAWP+aW2slXN719Tv3MatePPqXK6vGKXMtyzkxCS79pCke/+5y/
JWfEeHaPPw+ASuubQyhl9scyiEPyN8zn/ChLTSVseh+0cTXDGR7j+zz4bKYHs5zz
iaxHSWDqoFZh9d4rCPPHNKTgRBRi
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----

回源限制

根本不需要在源站放一个证书，你只要 CDN 设置为 http 回源，CDN 使用 https 就行了，不要用协议跟随，或者是全程使用 HTTPS，区别在于服务端必须使用有效的可信任证书

邮件保护

为了防止泄露源站，可以通过阿里云的邮箱推送进行发送邮箱，目前博主就在用，默认是免费给额度的，够一般博客等网站使用了，后续可以购买资源包进行扩展

邮件推送管理控制台 (aliyun.com)

配置好之后就可以进行发送操作了，十分简单！

前言

由于阿里云,腾讯云等云服务器默认系统镜像不带Swap分区,本文将介绍使用简单的一键安装脚本为CentOS7添加Swap交换分区.

本文为 Stille 原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.

配置流程

一、检查Swap分区

登录服务器
输入

1

free -m

Swap分区为0则表示无Swap分区

二、下载一键安装脚本

输入

1
2
3

curl -O https://raw.githubusercontent.com/stilleshan/code/main/shell/swap.sh && chmod +x swap.sh && ./swap.sh
# 以下为国内镜像
curl -O https://github.ioiox.com/stilleshan/code/raw/branch/main/shell/swap.sh && chmod +x swap.sh && ./swap.sh

三、运行脚本添加Swap分区

输入

1

./swap.sh

选1添加Swap分区

输入分区大小,单位为M,无需乘以1024计算.例如需要4G,则输入4000.

添加完成

再次检查Swap分区

1

free -m

如何在 Linux 中禁用 IPv6？

IPv6（Internet Protocol version 6）是互联网上的下一代网络协议，它的部署旨在解决IPv4地址枯竭的问题，并提供更多的地址空间以支持未来的互联网增长。然而，在某些情况下，禁用IPv6可能是必要的，例如在特定网络环境下IPv6不可用或不安全时。本文将介绍在Linux系统中如何禁用IPv6的方法。

方法一：通过 sysctl 配置禁用IPv6

在Linux中，可以通过sysctl工具来动态配置内核参数。要禁用IPv6，可以通过修改sysctl配置来实现。

• 打开终端(SSH)，使用root权限登录；论如何快速了解建站 | 朽丘博 (koxiuqiu.cn)
• 使用文本编辑器打开/etc/sysctl.conf文件。

1

sudo nano /etc/sysctl.conf

• 在文件末尾添加以下内容：

1
2
3

# 禁用IPv6
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

• 保存并关闭文件。然后运行以下命令使更改生效：

1

sudo sysctl -p

• 检查IPv6是否已禁用。运行以下命令：

1

cat /proc/sys/net/ipv6/conf/all/disable_ipv6

方法二：临时禁用IPv6

除了通过sysctl永久禁用IPv6外，还可以临时禁用IPv6，而不影响永久配置，输出1就是成功

• 打开终端，使用root权限登录。
• 运行以下命令临时禁用IPv6：

1
2

sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1

这将立即禁用IPv6，但是重启系统后会恢复到默认配置。

• 若要重新启用IPv6，可以运行以下命令：

1
2

sudo sysctl -w net.ipv6.conf.all.disable_ipv6=0
sudo sysctl -w net.ipv6.conf.default.disable_ipv6=0

方法三：禁用IPv6模块

另一种方法是直接禁用Linux内核中的IPv6模块。这种方法会完全禁用IPv6，无论系统如何配置。

• 打开终端，使用root权限登录。
• 运行以下命令以禁用IPv6模块：

1

sudo echo "blacklist ipv6" >> /etc/modprobe.d/blacklist.conf

• 重新启动系统以使更改生效。

结论

通过本文介绍的方法，您可以在Linux系统中轻松地禁用IPv6。根据您的需求，您可以选择永久禁用IPv6、临时禁用IPv6或禁用IPv6模块。但是，请务必谨慎操作，以免造成不必要的网络问题。

方法一：通过sysctl配置禁用IPv6，是一种永久性的禁用方法，适用于需要在系统级别禁用IPv6的情况。 方法二：临时禁用IPv6允许您在不影响永久配置的情况下暂时禁用IPv6，适用于特定场景下的临时需求。 方法三：禁用IPv6模块可以彻底禁用IPv6功能，但可能会影响依赖IPv6的应用程序或服务的正常运行，因此使用时需要谨慎考虑 ————————————————