Publication légale axée sur la confidentialité
Hébergez un site anonymement chez vous avec Cloudflare Tunnel et un VPN
Ce guide explique comment cacher votre IP résidentielle aux visiteurs en publiant un site local via Cloudflare Tunnel et, si souhaité, en passant cloudflared par un VPN.
La limite de confidentialité compte : les visiteurs ne doivent pas connaître votre IP résidentielle, mais Cloudflare connaît votre compte et le VPN sait que vous vous connectez à Cloudflare.
Ce guide s'adresse à l'auto-hébergement légitime, tests, publication et recherche. Il ne soutient pas la fraude, malware, phishing, harcèlement ou activité illégale.
Table des matières
Ce que cette configuration protège réellement
L'objectif pratique n'est pas de disparaître de tous les fournisseurs, mais d'empêcher visiteurs, scanners et requêtes DNS d'accéder à votre IP résidentielle ou routeur.
Le DNS peut pointer vers Cloudflare au lieu d'une adresse résidentielle, évitant ainsi les révélations lors de recherches simples.
Un tunnel nommé est uniquement sortant, vous n'avez donc pas besoin de redirection de port entrante pour le site web.
Votre site peut rester sur localhost ou une interface privée pendant que Cloudflare gère la portée publique.
C'est la confidentialité vis-à-vis des visiteurs, pas l'invisibilité pour Cloudflare, le fournisseur VPN ou votre propre trace de compte.
Qui peut encore vous identifier
La meilleure façon de concevoir l'hébergement anonyme est de séparer les audiences. Chaque audience découvre une partie différente de l'histoire.
Visiteurs
- Ils peuvent voir votre nom d'hôte public, la surface TLS, ainsi que tout contenu, en-têtes, analytics et cookies que vous exposez volontairement.
- Ils voient généralement les IPs edge Cloudflare au lieu de votre IP résidentielle quand le DNS pointe uniquement vers le tunnel.
- Ils peuvent toujours identifier le navigateur admin si vous vous connectez au même backend depuis le même appareil ou profil.
Cloudflare
- Cloudflare connaît le compte, la zone, l'UUID du tunnel, les noms d'hôtes configurés et l'état du tunnel.
- Cloudflare voit aussi l'IP source utilisée par cloudflared, soit votre IP résidentielle, soit celle de sortie VPN.
- Un VPN peut masquer l'IP source résidentielle à Cloudflare, mais ne supprime pas la relation avec le compte Cloudflare.
Fournisseur VPN
- Le fournisseur VPN peut toujours voir que votre appareil maintient un trafic chiffré vers Cloudflare.
- Si le VPN est lié à votre email ou identité de paiement habituelle, cette relation existe toujours hors tunnel.
- Un VPN modifie l'IP source vue par Cloudflare. Cela ne supprime pas la confiance accordée au fournisseur VPN.
Votre trace d'identité plus large
- Les données du registrar, mails de récupération, paiements et noms d'utilisateur réutilisés peuvent toujours vous relier au projet.
- Se connecter aux panneaux admin depuis un profil navigateur personnel peut relier le site à votre identité quotidienne.
- En pratique, l'anonymat dépend autant de la discipline opérationnelle que du tunnel lui-même.
Fonctionnement du chemin du trafic
Le chemin clair est simple : le côté public termine chez Cloudflare, le côté privé reste un service local accessible uniquement par cloudflared.
Demande votre nom d'hôte et atteint le réseau edge de Cloudflare.
Termine le HTTPS, applique les règles et redirige la requête vers le tunnel nommé.
Maintient des connexions tunnel sortantes uniquement depuis votre machine Windows vers Cloudflare.
Répond sur localhost ou une autre adresse privée sans exposition directe à Internet.
Si cloudflared utilise d'abord un VPN, Cloudflare voit l'IP de sortie VPN comme source. Sans kill switch, une coupure VPN peut reconnecter cloudflared via l'IP résidentielle.
Fonctionnement de cloudflared.exe sous Windows
cloudflared.exe n'est ni un VPN ni un réseau d'anonymat. C'est le connecteur Cloudflare qui authentifie un tunnel, maintient des connexions sortantes et mappe un nom public à un service local.
Vous pouvez vous connecter une fois, créer un tunnel nommé et le réutiliser pour un nom d'hôte stable au lieu de liens jetables.
Cloudflare indique que chaque tunnel maintient plusieurs connexions longues pour assurer la résilience en cas de coupure.
Un fichier de configuration peut rediriger app.example.com vers http://localhost:3000 sans exposer localhost publiquement.
Vous pouvez tester le tunnel dans un terminal puis le convertir en service Windows toujours actif.
Cloudflare Tunnel peut publier HTTP, HTTPS, TCP, SSH, RDP et services privés similaires, mais ce guide se concentre sur les sites web.
Pour le workflow exact du fournisseur, comparez votre configuration avec Guide local du tunnel Cloudflare et le Guide du service Windows.
Installation Windows : cloudflared.exe étape par étape
Ce chemin suppose qu'un site fonctionne déjà localement et que votre domaine utilise Cloudflare DNS. L'exemple utilise app.example.com et un service local sur le port 3000.
Utilisez PowerShell 7 pour chaque commande ci-dessous. Remplacez le nom d'hôte, nom du tunnel et service local avant de copier.
Étape 1 : définissez les valeurs à réutiliser
Démarrez dans PowerShell 7 et remplacez le nom d'hôte, le nom du tunnel et le service local par vos valeurs avant de continuer.
$TunnelName = "ghostly-home-site"
$PublicHostname = "app.example.com"
$LocalService = "http://localhost:3000"
$CloudflaredHome = "C:\Cloudflared\bin"
$ConfigPath = "$env:USERPROFILE\.cloudflared\config.yml"Étape 2 : préparez cloudflared.exe
Renommez le binaire téléchargé, créez un dossier dédié et copiez-y l'exécutable.
Rename-Item "$env:USERPROFILE\Downloads\cloudflared-windows-amd64.exe" "cloudflared.exe"
New-Item -ItemType Directory -Force $CloudflaredHome
Copy-Item "$env:USERPROFILE\Downloads\cloudflared.exe" "$CloudflaredHome\cloudflared.exe"Étape 3 : placez-vous dans le dossier de travail et vérifiez le binaire
Placez-vous dans le dossier et vérifiez que cloudflared.exe démarre correctement avant toute authentification.
Set-Location $CloudflaredHome
.\cloudflared.exe --versionÉtape 4 : connectez-vous et autorisez la zone Cloudflare
Cela ouvre le navigateur pour approuver la zone. Le certificat de compte est écrit dans votre dossier .cloudflared par défaut.
.\cloudflared.exe tunnel loginÉtape 5 : créez le tunnel nommé et sauvegardez son UUID
Créez le tunnel, puis collez l'UUID de la commande dans la variable ci-dessous pour réutilisation.
.\cloudflared.exe tunnel create $TunnelName
$TunnelId = "<paste-the-tunnel-uuid-from-the-create-output>"Étape 6 : écrivez config.yml ligne par ligne
Ces commandes créent le config.yml local dans votre profil Windows pour que le tunnel sache quel nom public rediriger vers quel service local.
Set-Content $ConfigPath "tunnel: $TunnelId"
Add-Content $ConfigPath "credentials-file: $env:USERPROFILE\.cloudflared\$TunnelId.json"
Add-Content $ConfigPath ""
Add-Content $ConfigPath "ingress:"
Add-Content $ConfigPath " - hostname: $PublicHostname"
Add-Content $ConfigPath " service: $LocalService"
Add-Content $ConfigPath " - service: http_status:404"Étape 7 : vérifiez et validez la configuration
Imprimez le fichier une fois pour vérification, puis laissez cloudflared valider les règles d'entrée avant de publier le DNS.
Get-Content $ConfigPath
.\cloudflared.exe tunnel ingress validateÉtape 8 : créez la route DNS et inspectez le tunnel
Cela indique à Cloudflare quel nom d'hôte doit cibler le tunnel nommé avant de servir le trafic en direct.
.\cloudflared.exe tunnel route dns $TunnelName $PublicHostname
.\cloudflared.exe tunnel info $TunnelNameÉtape 9 : lancez le tunnel au premier plan
Gardez cette fenêtre PowerShell 7 ouverte pendant les tests depuis un autre réseau. Arrêtez avec Ctrl+C quand fini.
.\cloudflared.exe tunnel run $TunnelNameNe faites cela qu'après que le tunnel interactif fonctionne. Exécutez les commandes ci-dessous dans PowerShell 7 en mode administrateur car le service utilise le profil système.
Étape 1 du service : installer le shell du service Windows
Ouvrez une fenêtre PowerShell 7 en administrateur pour cette étape optionnelle et installez d'abord le service Cloudflared.
Set-Location $CloudflaredHome
.\cloudflared.exe service installÉtape 2 du service : copier cert.pem, identifiants et config dans le profil système
Le service Windows s'exécute sous le profil système, il nécessite donc un dossier .cloudflared avec certificat, identifiants et config.yml.
$SystemCloudflaredHome = "C:\Windows\System32\config\systemprofile\.cloudflared"
New-Item -ItemType Directory -Force $SystemCloudflaredHome
Copy-Item "$env:USERPROFILE\.cloudflared\cert.pem" "$SystemCloudflaredHome\cert.pem"
Copy-Item "$env:USERPROFILE\.cloudflared\$TunnelId.json" "$SystemCloudflaredHome\$TunnelId.json"
Set-Content "$SystemCloudflaredHome\config.yml" "tunnel: $TunnelId"
Add-Content "$SystemCloudflaredHome\config.yml" "credentials-file: $SystemCloudflaredHome\$TunnelId.json"
Add-Content "$SystemCloudflaredHome\config.yml" ""
Add-Content "$SystemCloudflaredHome\config.yml" "ingress:"
Add-Content "$SystemCloudflaredHome\config.yml" " - hostname: $PublicHostname"
Add-Content "$SystemCloudflaredHome\config.yml" " service: $LocalService"
Add-Content "$SystemCloudflaredHome\config.yml" " - service: http_status:404"Étape 3 du service : pointer ImagePath vers la config système et démarrer le service
La doc du service Windows Cloudflare exige que ImagePath Cloudflared référence le fichier de config du profil système.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Cloudflared" -Name ImagePath -Value "C:\Cloudflared\bin\cloudflared.exe --config=C:\Windows\System32\config\systemprofile\.cloudflared\config.yml tunnel run"
sc.exe start cloudflaredCela reflète le flux du service Windows Cloudflare : copiez cert.pem et les identifiants du tunnel dans le profil système, écrivez un config.yml système, puis pointez ImagePath du service Cloudflared vers cette config.
Placement VPN et règles de renforcement
Le tunnel est aussi privé que la route sous-jacente. Pour que Cloudflare voie une IP VPN au lieu d'une IP résidentielle, le VPN doit précéder cloudflared.
Vérifiez d'abord l'IP publique de l'hôte. Si la machine affiche encore l'IP ISP, Cloudflare verra cette IP à la connexion du tunnel.
Si le VPN tombe sans firewall, cloudflared peut reconnecter via la route résidentielle normale.
Liez le service web à localhost ou à une interface privée pour que le tunnel soit la seule voie publique accessible.
La documentation Cloudflare avertit que le debug peut enregistrer URLs, méthodes, protocoles, tailles et en-têtes. Utilisez le logging normal au quotidien.
Choix VPN optionnels et comparaison
Vous voulez un raccourci VPN rapide ou une comparaison plus large ?
Pour un point de départ simple, le bouton VPN rotatif ci-dessous ouvre une option. Pour comparer plusieurs, utilisez le répertoire complet.
Choix VPN actuel : NordVPN
Si le tunnel s'arrête alors que le DNS est actif, les visiteurs voient une erreur Cloudflare jusqu'au retour du connecteur. Bruyant, mais mieux qu'une fuite silencieuse d'IP.
Liste de vérification avant confiance
Ne supposez pas que le setup est privé parce que le site charge une fois. Vérifiez la route comme un opérateur, pas un marketeur.
Une recherche externe rapide doit afficher des enregistrements Cloudflare plutôt qu'une adresse résidentielle.
Vérifiez d'abord l'IP publique de la machine pour savoir ce que Cloudflare verra côté connecteur.
Testez depuis un réseau mobile ou externe pour éviter les raccourcis de routage local.
Simulez une fois le cas d'échec. Si cloudflared reconnecte via l'ISP, le modèle de confidentialité est compromis.
Quand GhostlyShare est la solution la plus simple
Pour un aperçu public temporaire, une démo client rapide ou un webhook, GhostlyShare est plus simple, évitant la configuration manuelle Cloudflare.
Utilisez cloudflared manuel pour un contrôle total du tunnel, DNS, compte service et hébergement longue durée. GhostlyShare pour la rapidité sans complexité.
Voir GhostlyShareQuestions fréquentes sur l'hébergement anonyme à domicile
Cloudflare sait-il toujours qui je suis ?
Oui. Cloudflare connaît toujours le compte, la zone, le tunnel et l'IP source atteignant son edge. Un VPN peut remplacer l'IP résidentielle vue par Cloudflare, mais pas la relation de compte.
Les visiteurs voient-ils mon IP résidentielle ?
Normalement non si votre DNS pointe uniquement vers Cloudflare et que l'origine n'est pas exposée autrement. Les visiteurs atteignent Cloudflare et le nom public, pas l'IP résidentielle.
Ai-je besoin de redirection de port sur le routeur ?
Non. Cloudflare Tunnel est uniquement sortant, le connecteur contacte Cloudflare au lieu d'attendre du trafic entrant.
Puis-je lancer cloudflared.exe uniquement quand nécessaire ?
Oui. Lancez le tunnel en mode interactif depuis PowerShell pour un usage temporaire. Convertissez-le en service Windows pour disponibilité après déconnexion ou redémarrage.
Que se passe-t-il si le VPN tombe ?
Sans kill switch, cloudflared peut reconnecter via la route résidentielle normale et Cloudflare verra l'IP ISP. D'où l'importance du cas d'échec.
Est-ce suffisant pour rendre le projet entièrement anonyme ?
Non. L'enregistrement de domaine, paiements, mails de récupération, empreintes navigateur et comportement admin peuvent encore vous identifier. Le tunnel ne résout qu'une partie du problème.
Guides associés
Lisez les bases du réseau avant de compter sur un VPN pour cacher l'IP source vue par Cloudflare.
Guide Vérifiez votre empreinte en ligne et votre exposition au suiviUtilisez la page d'empreinte pour réduire les indices côté navigateur pouvant relier vos sessions admin.
Outil GhostlyShare : partagez localhost sur Windows et LinuxUtilisez la méthode desktop plus simple pour un lien d'aperçu public sans config Cloudflare manuelle.
Répertoire Fournisseurs VPN mondiaux : comparez audits, confidentialité et adéquationUtilisez le répertoire complet VPN pour comparer plusieurs fournisseurs avant de choisir pour le tunnel.