Guida alla privacy di Cloudflare Tunnel
Limiti di privacy di Cloudflare Tunnel + VPN spiegati
Cloudflare Tunnel può nascondere il tuo IP domestico ai visitatori, e una VPN può modificare l'IP sorgente che Cloudflare vede. Questa combinazione può essere utile, ma non rende un sito anonimo di per sé.
Questa guida distingue il mito comune di Cloudflare VPN dalla configurazione reale: cloudflared si connette verso Cloudflare, l'instradamento VPN opzionale sta prima del connettore, e account, dominio, browser e tracce di pagamento contano ancora.
Indice
Risposta breve: Tunnel più VPN è instradamento per privacy, non anonimato
Usa Cloudflare Tunnel quando vuoi che i visitatori raggiungano un sito senza conoscere il tuo IP residenziale o toccare direttamente il router. Aggiungi l'instradamento VPN solo se hai motivo specifico di impedire a Cloudflare di vedere l'IP del connettore residenziale.
Anche in quel caso, Cloudflare mantiene account, zona, tunnel, nome host e relazione di traffico. Il provider VPN può vedere che il tuo connettore comunica con Cloudflare. I visitatori possono ancora identificare il sito tramite contenuti, account, analisi, cookie e impronte del browser.
In questo articolo, Cloudflare Tunnel indica il connettore cloudflared. VPN indica un servizio VPN separato davanti a cloudflared o Cloudflare WARP come prodotto client distinto, non uno strato magico di anonimato.
Cloudflare Tunnel, WARP e VPN sono cose diverse
La maggior confusione nasce dalla terminologia. Cloudflare Tunnel pubblica un'origine privata tramite Cloudflare. WARP è il client dispositivo di Cloudflare per instradare il traffico utente. Un provider VPN normale è una rete separata scelta per instradare il connettore.
| Termine | Cosa significa qui | Limite di privacy |
|---|---|---|
| Cloudflare Tunnel | cloudflared crea connessioni in uscita dalla tua origine verso Cloudflare e mappa nomi host pubblici a servizi privati. | Protegge l'origine dai visitatori, non da Cloudflare stesso. |
| VPN prima di cloudflared | Il traffico del connettore è instradato tramite un client VPN prima di raggiungere Cloudflare. | Cloudflare può vedere l'IP di uscita della VPN, mentre il provider VPN può vedere il traffico verso Cloudflare. |
| Cloudflare WARP | Client dispositivo di Cloudflare per instradare il traffico utente attraverso i servizi Cloudflare. | Non è la stessa cosa che pubblicare un sito con Cloudflare Tunnel. |
| Cloudflare VPN | Una frase generica usata per indicare diverse idee legate a Cloudflare e VPN. | Evita la frase durante la pianificazione; indica il prodotto o percorso esatto a cui ti riferisci. |
Chi vede cosa in una configurazione Tunnel più VPN
Il modo più sicuro di analizzare la configurazione è separare i pubblici. Ognuno vede una parte diversa della catena, nessuno deve essere considerato cieco.
| Visualizzatore | Cosa possono vedere | Cosa di solito non vedono | Rischio principale |
|---|---|---|---|
| Visitatore | Nome host, contenuti, intestazioni, cookie, analisi e comportamento al bordo di Cloudflare. | L'IP di origine residenziale quando DNS e instradamento puntano solo a Cloudflare. | Contenuti o impronte del browser possono ancora identificare l'operatore. |
| Cloudflare | Account, zona, ID tunnel, nomi host pubblici, percorso della richiesta e IP sorgente del connettore. | L'IP del connettore residenziale solo se il percorso VPN funziona ed è applicato. | Un account debole o un'identità riutilizzata collegano comunque il progetto a te. |
| Provider VPN | Che la tua macchina mantiene il traffico criptato verso Cloudflare. A seconda del provider, possono esistere anche dati di account e pagamento. | Contenuto visitatore quando il percorso HTTPS pubblico è tra visitatori e Cloudflare. | Hai spostato la fiducia dal percorso ISP al provider VPN. |
| Registrar e account | Proprietà del dominio, email di recupero, fatturazione e cronologia accessi. | Niente nella configurazione di rete risolve una debole separazione degli account. | Perdite di identità amministrativa possono compromettere la privacy di rete. |
Il problema della caduta VPN: cloudflared può riconnettersi tramite il percorso normale
Se cloudflared può usare la rete normale quando la VPN si disconnette, Cloudflare può vedere di nuovo l'IP residenziale. Questo è un caso di errore pratico spesso trascurato.
Un kill switch limitato al browser o all'app non basta se il processo cloudflared può ancora usare il percorso predefinito normale.
Un connettore tunnel è progettato per mantenere attivo il percorso. Se un percorso scompare, può riconnettersi tramite un altro disponibile.
Usa regole firewall, binding di interfaccia o controlli provider solo se puoi verificare che cloudflared sia bloccato fuori dal percorso VPN.
Non pubblicare log o screenshot che mostrano ID connettore, IP sorgente, email account o nomi host privati.
Ferma la VPN, riavvia cloudflared, riavvia la macchina e verifica la sorgente del connettore da parte di Cloudflare prima di considerare il percorso privato. Un kill switch è utile solo se blocca davvero cloudflared fuori dal percorso VPN.
Tunnel più VPN non sostituisce la separazione delle identità
L'instradamento di rete è solo uno strato. Se dominio, email, metodo di pagamento, browser amministrativo, account analitico e stile di scrittura pubblico rimandano alla tua identità quotidiana, il tunnel non può risolvere.
Dominio e DNS
Usa account registrar separati, caselle di recupero e accesso DNS quando il progetto non deve collegarsi all'infrastruttura personale.
Browser amministrativo
Non gestire il sito dallo stesso profilo browser che contiene login personali, cookie, estensioni e identità sincronizzate.
Pagamenti
Una carta, un indirizzo di fatturazione o un'email riutilizzata possono identificare il progetto anche se l'IP pubblico è nascosto.
Stile del contenuto
Stile di scrittura, avatar riutilizzati, ID analitici, nomi repository e canali di supporto possono collegare il progetto a te.
Quando usare solo Tunnel, Tunnel più VPN, GhostlyShare o un VPS
Scegli il percorso più semplice che risolve il problema reale di esposizione. Aggiungere una VPN può aumentare la privacy, ma introduce anche rischi di guasti, tracce di account e manutenzione.
| Rotta | Usa quando | Evita quando |
|---|---|---|
| Solo Cloudflare Tunnel | Vuoi un nome host pubblico stabile senza esporre il tuo router domestico ai visitatori. | Cloudflare non deve vedere l'IP del connettore residenziale. |
| Cloudflare Tunnel con instradamento VPN | Puoi far sì che cloudflared si connetta solo tramite un percorso VPN testato. | Non puoi testare guasti VPN, comportamento del kill switch, riavvii e log. |
| GhostlyShare | Ti serve un'anteprima localhost temporanea, callback webhook, link demo o condivisione protetta rapida. | Hai bisogno di un percorso di produzione permanente con manutenzione a lungo termine. |
| VPS o host dedicato | Vuoi un'isolamento più pulito dalla tua rete domestica e puoi mantenere un server. | Ti serve solo un'anteprima breve o non puoi aggiornare e monitorare il server. |
Se ti serve solo un'anteprima pubblica localhost, un link demo o un callback webhook per poco tempo, GhostlyShare evita di trasformare la configurazione in un hosting domestico permanente.
Apri GhostlyShareConsiglio VPN: scegli il provider per il caso di errore testabile
Scelta VPN opzionale
Scegli la VPN per i casi di errore, non solo per il prezzo.
Se Cloudflare deve vedere un IP di uscita VPN, scegli un provider con kill switch e percorso WireGuard testabili sulla macchina che esegue cloudflared. Proton VPN è il punto di partenza per la privacy; NordVPN è un'alternativa pratica quando contano velocità, app rifinita e ampia scelta di server.
Scelta attuale in rotazione: Proton VPN
Documentazione ufficiale da consultare prima di affidarsi
Cloudflare modifica i dettagli dei prodotti nel tempo. Prima di affidarti al percorso, verifica direttamente la documentazione aggiornata di Tunnel, Public Hostname, WARP e Split Tunnel.
Requisiti firewall per il tunnel Instradamento nome host pubblico Split Tunnel WARP
Domande frequenti su Cloudflare Tunnel e privacy VPN
Domande frequenti
Cloudflare Tunnel più VPN rende un sito web anonimo?
No. Può nascondere l'IP domestico ai visitatori e forse l'IP del connettore residenziale a Cloudflare, ma account, proprietà dominio, pagamenti, navigazione amministrativa, contenuti e log provider possono ancora identificare l'operatore.
Cloudflare Tunnel è una VPN?
No. Cloudflare Tunnel è un connettore che pubblica servizi privati tramite Cloudflare senza inoltro porte in ingresso. Una VPN instrada il traffico dispositivo tramite un server VPN. Cloudflare WARP è un altro prodotto client separato.
Cosa succede se la VPN cade mentre cloudflared è attivo?
Se nulla blocca cloudflared fuori dal percorso VPN, può riconnettersi tramite il normale percorso ISP. Testa riavvii, disconnessioni VPN e riavvii macchina prima di considerare sicuro il confine di privacy.
Quando GhostlyShare è meglio di Cloudflare Tunnel più VPN?
Usa GhostlyShare quando ti serve un'anteprima pubblica temporanea localhost, demo o callback webhook e non vuoi mantenere un hosting domestico permanente.