استضافة موقع إلكتروني من المنزل بشكل مجهول باستخدام نفق Cloudflare وVPN | 2026

تشغيل الخدمات من شبكة منزلية قد يكشف أكثر من مجرد عنوان IP واحد. تقلل الاستضافة المجهولة من تعرضك بطرق عملية:

• اخفِ عنوان IP السكني خلف نقطة خروج VPN حتى لا يتمكن المراقبون من ربط الحركة بموقعك.
• تخلص من إعادة توجيه المنافذ الواردة لأن نفق Cloudflare يحافظ على الاتصالات الصادرة فقط.
• دع Cloudflare يتولى إدارة TLS والتخزين المؤقت وامتصاص هجمات DDoS بينما يبقى المصدر خاصاً.
• حافظ على حرية الاستضافة الذاتية مع تلبية متطلبات الخصوصية للمشاريع الشخصية أو الخاصة بالعملاء.

يعتمد هذا التصميم على مسار خروج واحد ومناطق ثقة واضحة بحيث لا يصبح المصدر قابلاً للوصول علناً:

1. يقوم الزوار بحل اسم النطاق الخاص بك عبر DNS الخاص بـ Cloudflare وتنتهي جلسة HTTPS على حافة Cloudflare.
2. يعمل جهاز Raspberry Pi الخاص بك على تشغيل cloudflared الذي يحافظ على نفق صادر فقط إلى Cloudflare.
3. يتم إجبار حركة المرور عبر النفق على المرور بواجهة VPN بحيث ترى Cloudflare فقط عنوان IP خروج VPN.
4. يستجيب خادم الويب المحلي الخاص بك، وتعود الردود عبر VPN وحافة Cloudflare.

بما أن الاتصال صادر فقط، لا يكشف الراوتر عن أي منافذ مفتوحة للإنترنت، مما يقلل بشكل كبير من نقاط الهجوم على منزلك.

اجمع الأجهزة والحسابات التالية قبل نشر نفق Cloudflare عبر VPN:

• جهاز Raspberry Pi 4 أو أحدث مع 4 جيجابايت رام على الأقل، طاقة موثوقة، وبطاقة microSD أو SSD عالية التحمل.
• نظام تشغيل Raspberry Pi OS Lite مع تمكين SSH وتطبيق إجراءات تقوية أساسية.
• حساب Cloudflare مع إدارة نطاقك في DNS الخاص بـ Cloudflare.
• الوصول إلى لوحة تحكم Cloudflare Zero Trust لإنشاء الأنفاق والسياسات.
• مزود VPN لا يحتفظ بالسجلات ويدعم ملفات تكوين WireGuard أو OpenVPN.
• اختياري: وكيل عكسي مثل Nginx أو Caddy أو Traefik للتوجيه والرؤوس.

طقم Raspberry Pi الموصى به للبداية

اختيار العتاد

طقم Raspberry Pi 4 للمبتدئين

طقم مدمج مع اللوحة ومزوّد الطاقة والتخزين يساعدك على تشغيل إعداد الاستضافة المجهولة بسرعة.

تسوّق عبر أمازون

إذا كنت تحتاج إلى VPN يركز على الخصوصية، مزودون مدققون مثل Proton VPN أو NordVPN يدعمون WireGuard على Raspberry Pi ويوفرون تحكمات مفتاح الإيقاف.

قم بتقوية النظام الأساسي ليظل مستقراً حتى عندما يصبح موقعك متاحاً علناً عبر Cloudflare:

1. قم بتحديث نظام التشغيل باستخدام sudo apt update و sudo apt full-upgrade, ثم أعد التشغيل.
2. أنشئ مستخدماً غير جذر بصلاحيات sudo وعطّل تسجيل الدخول عبر SSH باستخدام كلمة المرور.
3. فعّل التحديثات التلقائية لتثبيت تصحيحات الأمان تلقائياً.
4. طبق قواعد جدار الحماية التي تسمح فقط بحركة المرور الصادرة المطلوبة لـ VPN وCloudflare.
5. قوِّ SSH باستخدام تسجيل الدخول بالمفتاح فقط وفعّل fail2ban أو CrowdSec لإبطاء محاولات القوة الغاشمة.
6. شغّل حزمة الويب الخاصة بك تحت systemd ليتم إعادة تشغيل الخدمات تلقائياً بعد الأعطال.

بعد ذلك، تأكد من أن نفقك يمكنه الوصول إلى الإنترنت فقط عبر مسار VPN مشفر:

1. أنشئ ملفات تعريف WireGuard أو OpenVPN من مزود VPN الخاص بك. عادةً ما يكون WireGuard أسرع على Raspberry Pi.
2. استورد التكوين. بالنسبة لـ WireGuard، ضعه في /etc/wireguard/wg0.conf.
3. ابدأ تشغيل VPN واجعل واجهة VPN هي المسار الافتراضي لحركة المرور الصادرة.
4. فعّل التشغيل التلقائي عند الإقلاع باستخدام systemd networkd أو NetworkManager.
5. نفذ مفتاح إيقاف باستخدام iptables أو nftables حتى لا يتمكن cloudflared من الاتصال بدون VPN.
6. تأكد من عنوان IP الخروج باستخدام curl https://ifconfig.me حتى تعرف أن Cloudflare سترى فقط عنوان VPN.

مع تفعيل VPN، أنشئ نفق Cloudflare يقوم بتمرير طلبات HTTPS إلى خادم الويب المحلي الخاص بك:

1. قم بتثبيت cloudflared من المستودع الرسمي أو استخدم الملف التنفيذي المستقل.
2. قم بالمصادقة مع cloudflared tunnel login لربط حسابك.
3. أنشئ نفقاً مسمى مثل cloudflared tunnel create anonymous-site وسجل معرف UUID.
4. اكتب /etc/cloudflared/config.yml مع قواعد دخول تربط اسم المضيف الخاص بك بخادم الويب المحلي.
5. أجبر النفق على استخدام مسار VPN بالحفاظ على المسار الافتراضي على واجهة VPN وفرض قواعد مفتاح الإيقاف.
6. أنشئ خدمة systemd ليبدأ النفق عند الإقلاع ويعاد تشغيله عند الفشل.
7. أنشئ سجل DNS في Cloudflare (CNAME) يشير إلى اسم المضيف الخاص بك باستخدام UUID النفق تحت cfargotunnel.com.

بعد ذلك، يصل الزوار إلى موقعك عبر Cloudflare بينما يبقى مصدر Raspberry Pi خاصاً وغير قابل للفحص المباشر.

راجع التوثيق الرسمي لنفق Cloudflare لمزيد من الإرشادات حول السياسات.

تُحافظ الدفاعات متعددة الطبقات على استمرارية الاستضافة المجهولة حتى في حال فشل أحد الضوابط:

• احمِ المسارات الحساسة باستخدام سياسات Cloudflare Zero Trust أو رموز الخدمة.
• فعّل قواعد WAF، وحماية الروبوتات، وتحديد المعدل لتقليل سوء الاستخدام.
• استخدم شهادات المصدر المقيدة للنفق وفرض HTTPS من الطرف إلى الطرف.
• شغّل fail2ban أو CrowdSec على الجهاز لمنع محاولات المصادقة المتكررة.
• فصل المحتوى العام عن لوحات الإدارة وحماية الأدوات الخاصة باستخدام Cloudflare Access.
• أرسل سجلات منقحة إلى جامع عن بُعد عبر VPN لتقليل تعرض البيانات الوصفية.

راقب كل طبقة حتى لا تتسبب الانقطاعات في تسرب عنوان IP المصدر عن طريق الخطأ:

• شغّل cloudflared tunnel info لتأكيد أن الموصل يعمل بشكل سليم.
• استعلم عن DNS باستخدام dig +short وتحقق من أنه يحل إلى عناوين IP لحافة Cloudflare.
• افحص واجهة VPN باستخدام wg show أو openvpn --status لتأكيد أن التشفير نشط.
• تابع استخدام المعالج والذاكرة والنطاق الترددي باستخدام Netdata أو Prometheus Node Exporter أو Grafana Agent.
• حدد جداول لفحص وقت التشغيل لتتلقى تنبيهات سريعة إذا انقطع النفق أو VPN.
• راجع تحليلات Cloudflare للبحث عن ارتفاعات، حظر، وأنماط تشير إلى محاولات استكشاف.

يمكن للاستضافة المجهولة أن تحقق ترتيباً جيداً إذا كان التسليم سريعاً ومتسقاً:

• فعّل التخزين المؤقت وميزات الأداء في Cloudflare لتحميل المحتوى بسرعة عالمياً.
• استخدم Brotli وHTTP/3 لتقليل زمن الاستجابة بين الزوار وحافة Cloudflare.
• فصل الأصول الثابتة إلى Cloudflare Workers أو Pages مع إبقاء المنطق الديناميكي على الجهاز.
• أضف بيانات منظمة بصيغة JSON-LD لتحسين فرص ظهور النتائج الغنية حيثما كان ذلك مناسباً.
• قم بأتمتة عمليات النشر عبر النفق لتجنب كشف منافذ الإدارة.
• راقب مؤشرات Core Web Vitals باستخدام تحليلات تحترم الخصوصية وقم بإصلاح التراجع مبكراً.

بفصل التسليم عن إدارة المصدر، تحصل على أداء عالمي دون التضحية بالخصوصية.

تعمق أكثر مع هذه الموارد الخاصة بالخصوصية والأمان: