استضافة موقع إلكتروني بشكل مجهول من المنزل باستخدام Cloudflare Tunnel وVPN | 2026

تشغيل الخدمات من شبكة منزلية قد يكشف أكثر من مجرد عنوان IP واحد. تقلل الاستضافة المجهولة من تعرضك بطرق عملية:

• اخفِ عنوان IP السكني خلف نقطة خروج VPN حتى لا يتمكن المراقبون من ربط الحركة بموقعك.
• تخلص من توجيه المنافذ الواردة لأن Cloudflare Tunnel يحافظ على الاتصالات صادرة فقط.
• دع Cloudflare يتولى إدارة TLS والتخزين المؤقت وامتصاص هجمات DDoS بينما يبقى المصدر خاصاً.
• حافظ على حرية الاستضافة الذاتية مع تلبية متطلبات الخصوصية للمشاريع الشخصية أو الخاصة بالعملاء.

يستخدم هذا التصميم مساراً واحداً صادراً ومناطق ثقة واضحة حتى لا يصبح المصدر قابلاً للوصول علناً:

1. يقوم الزوار بحل اسم النطاق الخاص بك في DNS الخاص بـ Cloudflare وينهون HTTPS على حافة Cloudflare.
2. يعمل جهاز Raspberry Pi الخاص بك على تشغيل cloudflared الذي يحافظ على نفق صادر فقط إلى Cloudflare.
3. يتم إجبار حركة المرور عبر النفق على المرور بواجهة VPN بحيث ترى Cloudflare فقط عنوان IP خروج VPN.
4. يستجيب خادم الويب المحلي الخاص بك، وتعود الردود عبر VPN وحافة Cloudflare.

بما أن الاتصال صادر فقط، لا يكشف الراوتر الخاص بك عن منافذ مفتوحة للإنترنت، مما يقلل بشكل كبير من سطح الهجوم على منزلك.

اجمع الأجهزة والحسابات التالية قبل نشر Cloudflare Tunnel عبر VPN:

• جهاز Raspberry Pi 4 أو أحدث مع 4 جيجابايت رام على الأقل، طاقة موثوقة، وبطاقة microSD أو SSD عالية التحمل.
• نظام تشغيل Raspberry Pi OS Lite مع تمكين SSH وتطبيق إجراءات تقوية أساسية.
• حساب Cloudflare مع إدارة نطاقك في DNS الخاص بـ Cloudflare.
• الوصول إلى لوحة تحكم Cloudflare Zero Trust لإنشاء الأنفاق والسياسات.
• مزود VPN لا يحتفظ بالسجلات ويدعم ملفات تكوين WireGuard أو OpenVPN.
• اختياري: وكيل عكسي مثل Nginx أو Caddy أو Traefik للتوجيه والرؤوس.

طقم Raspberry Pi الموصى به للبدء

اختيار العتاد

طقم Raspberry Pi 4 للبداية

طقم مدمج مع اللوحة ومزوّد الطاقة والتخزين يساعدك على تشغيل إعداد الاستضافة المجهولة بسرعة.

تسوق من Amazon

إذا كنت تحتاج إلى VPN يركز على الخصوصية، مزودون مدققون مثل Proton VPN أو NordVPN يدعمون WireGuard على Raspberry Pi ويقدمون تحكمات مفتاح الإيقاف.

قم بتقوية النظام الأساسي ليظل مستقراً حتى عندما يصبح موقعك متاحاً علناً عبر Cloudflare:

1. قم بتحديث نظام التشغيل باستخدام sudo apt update و sudo apt full-upgrade, ثم أعد التشغيل.
2. أنشئ مستخدماً غير جذر بصلاحيات sudo وعطّل تسجيل الدخول عبر SSH باستخدام كلمة المرور.
3. فعّل التحديثات التلقائية لتثبيت تصحيحات الأمان تلقائياً.
4. طبق قواعد جدار الحماية التي تسمح فقط بحركة المرور الصادرة المطلوبة لـ VPN وCloudflare.
5. قم بتقوية SSH باستخدام تسجيل الدخول بالمفتاح فقط وفعل fail2ban أو CrowdSec لإبطاء محاولات القوة الغاشمة.
6. شغّل حزمة الويب الخاصة بك تحت systemd ليتم إعادة تشغيل الخدمات تلقائياً بعد الأعطال.

بعد ذلك، تأكد من أن نفقك يمكنه الوصول إلى الإنترنت فقط عبر مسار VPN مشفر:

1. أنشئ ملفات تعريف WireGuard أو OpenVPN من مزود VPN الخاص بك. عادةً ما يكون WireGuard أسرع على Raspberry Pi.
2. استورد التكوين. بالنسبة لـ WireGuard، ضعه في /etc/wireguard/wg0.conf.
3. ابدأ تشغيل VPN واجعل واجهة VPN هي المسار الافتراضي لحركة المرور الصادرة.
4. فعّل التشغيل التلقائي عند الإقلاع باستخدام systemd networkd أو NetworkManager.
5. نفذ مفتاح إيقاف باستخدام iptables أو nftables حتى لا يتمكن cloudflared من الاتصال بدون VPN.
6. تأكد من عنوان IP الخروج باستخدام curl https://ifconfig.me حتى تعرف أن Cloudflare سترى فقط عنوان VPN.

مع تفعيل VPN، أنشئ نفق Cloudflare يقوم بتمرير طلبات HTTPS إلى خادم الويب المحلي الخاص بك:

1. قم بتثبيت cloudflared من المستودع الرسمي أو استخدم الملف التنفيذي المستقل.
2. قم بالمصادقة مع cloudflared tunnel login لربط حسابك.
3. أنشئ نفقاً مسمى مثل cloudflared tunnel create anonymous-site وسجل معرف UUID.
4. اكتب /etc/cloudflared/config.yml مع قواعد دخول تربط اسم المضيف الخاص بك بخادم الويب المحلي.
5. أجبر النفق على استخدام مسار VPN بالحفاظ على المسار الافتراضي على واجهة VPN وفرض قواعد مفتاح الإيقاف.
6. أنشئ خدمة systemd ليبدأ النفق عند الإقلاع ويعاد تشغيله عند الفشل.
7. أنشئ سجل DNS في Cloudflare (CNAME) يشير إلى اسم المضيف الخاص بك إلى معرف UUID للنفق تحت cfargotunnel.com.

بعد ذلك، يصل الزوار إلى موقعك عبر Cloudflare بينما يبقى مصدر Raspberry Pi خاصاً وغير قابل للفحص المباشر.

راجع الوثائق الرسمية لـ Cloudflare Tunnel للحصول على إرشادات أعمق للسياسات.

الدفاعات متعددة الطبقات تحافظ على استضافة منزلية مجهولة قوية حتى لو فشل أحد الضوابط:

• احمِ المسارات الحساسة باستخدام سياسات Cloudflare Zero Trust أو رموز الخدمة.
• فعّل قواعد WAF، وحماية الروبوتات، وتحديد المعدل لتقليل الإساءة.
• استخدم شهادات المصدر المحدودة للنفق وفرض HTTPS من البداية للنهاية.
• شغّل fail2ban أو CrowdSec على Pi لحظر محاولات المصادقة المتكررة.
• فصل المحتوى العام عن لوحات الإدارة وحماية الأدوات الخاصة باستخدام Cloudflare Access.
• أرسل سجلات منقحة إلى جامع عن بُعد عبر VPN لتقليل تعرض البيانات الوصفية.

راقب كل طبقة حتى لا تتسبب الانقطاعات في تسرب عنوان IP المصدر عن طريق الخطأ:

• شغّل cloudflared tunnel info لتأكيد أن الموصل يعمل بشكل سليم.
• استعلم عن DNS باستخدام dig +short وتحقق من أنه يحل إلى عناوين IP لحافة Cloudflare.
• تحقق من واجهة VPN باستخدام wg show أو openvpn --status لتأكيد أن التشفير نشط.
• تابع استخدام المعالج والذاكرة والنطاق الترددي باستخدام Netdata أو Prometheus Node Exporter أو Grafana Agent.
• حدد جداول لفحص وقت التشغيل لتتلقى تنبيهات سريعة إذا انقطع النفق أو VPN.
• راجع تحليلات Cloudflare للبحث عن ارتفاعات، حظر، وأنماط تشير إلى محاولات استكشاف.

يمكن للاستضافة المجهولة أن تحقق ترتيباً جيداً إذا كانت التوصيل سريعاً ومتسقاً:

• فعّل التخزين المؤقت وميزات الأداء في Cloudflare لتحميل الأصول بسرعة عالمياً.
• استخدم Brotli وHTTP/3 لتقليل زمن الاستجابة بين الزوار وحافة Cloudflare.
• فوض الأصول الثابتة إلى Cloudflare Workers أو Pages مع إبقاء المنطق الديناميكي على Pi.
• أضف بيانات منظمة JSON-LD لتحسين الأهلية للنتائج الغنية حيثما كان ذلك مناسباً.
• قم بأتمتة عمليات النشر عبر النفق لتجنب كشف منافذ الإدارة.
• راقب مؤشرات Core Web Vitals باستخدام تحليلات تحترم الخصوصية وقم بإصلاح التراجع مبكراً.

من خلال فصل التوصيل عن إدارة المصدر، تحصل على أداء عالمي دون التضحية بالخصوصية.

تعمق أكثر مع هذه الموارد الخاصة بالخصوصية والأمان: