Pubblicazione legale e focalizzata sulla privacy
Ospita un sito anonimamente da casa con Cloudflare Tunnel e una VPN
Questa guida mostra come nascondere il tuo IP di casa ai visitatori pubblicando un sito locale tramite Cloudflare Tunnel e, se vuoi, instradando cloudflared tramite VPN.
Il confine della privacy è importante: i visitatori non devono conoscere il tuo IP residenziale, ma Cloudflare conosce il tuo account e il provider VPN sa che ti connetti a Cloudflare.
È scritto per hosting legittimo, test, pubblicazione e ricerca. Non supporta frodi, malware, phishing, molestie o attività illegali.
Indice
Cosa protegge realmente questa configurazione
L'obiettivo pratico non è sparire da ogni provider, ma impedire a visitatori, scanner e ricerche DNS di scoprire il tuo IP residenziale o raggiungere direttamente il router.
Il DNS può puntare a Cloudflare invece che a un indirizzo di casa, così ricerche casuali non rivelano dove è ospitato il sito.
Un tunnel nominato è solo in uscita, quindi non serve il port forwarding in ingresso per il sito web.
Il tuo sito può restare su localhost o altra interfaccia privata mentre Cloudflare gestisce la raggiungibilità pubblica.
Questa è privacy dai visitatori, non invisibilità da Cloudflare, dal provider VPN o dalla tua traccia account.
Chi può ancora identificarti
Il modo più chiaro di pensare all'hosting anonimo da casa è separare i pubblici. Ogni pubblico apprende una parte diversa della storia.
Visitatori
- Possono vedere il tuo hostname pubblico, la superficie TLS e qualsiasi contenuto, header, analisi e cookie che esponi intenzionalmente.
- Di solito vedono gli IP edge di Cloudflare invece del tuo IP di casa quando il DNS punta solo al tunnel.
- Possono ancora identificare il browser admin se accedi allo stesso backend dallo stesso dispositivo o profilo browser.
Cloudflare
- Cloudflare conosce l'account, la zona, l'UUID del tunnel, gli hostname configurati e lo stato di salute del tunnel.
- Cloudflare vede anche l'IP sorgente usato da cloudflared per connettersi, che può essere il tuo IP di casa o l'IP di uscita della VPN.
- Una VPN può nascondere l'IP sorgente residenziale a Cloudflare, ma non elimina il legame con l'account Cloudflare.
Provider VPN
- Il provider VPN può ancora vedere che il tuo dispositivo mantiene traffico criptato verso Cloudflare.
- Se la VPN è legata alla tua email o identità di pagamento normale, quel legame esiste ancora fuori dal tunnel.
- Una VPN modifica l'IP sorgente che Cloudflare vede, ma non elimina la fiducia che riponi nel provider VPN.
La tua traccia d'identità più ampia
- Dati del registrar, email di recupero, pagamenti e username riutilizzati possono ancora collegare il progetto a te.
- Accedere ai pannelli admin da un profilo browser personale può collegare il sito alla tua identità quotidiana.
- In pratica, l'anonimato dipende tanto dalla disciplina operativa quanto dal tunnel stesso.
Come funziona il percorso del traffico
Il percorso pulito è semplice: il lato pubblico termina su Cloudflare, mentre il lato privato resta un servizio locale raggiungibile solo da cloudflared.
Richiede il tuo hostname e raggiunge la rete edge di Cloudflare.
Termina HTTPS, applica regole e inoltra la richiesta nel tunnel nominato.
Mantiene connessioni tunnel solo in uscita dalla tua macchina Windows verso Cloudflare.
Risponde su localhost o altro indirizzo privato senza essere esposto direttamente a internet.
Se cloudflared usa prima una VPN, Cloudflare vede l'IP di uscita VPN come sorgente. Se la VPN cade senza kill switch, cloudflared può riconnettersi tramite ISP normale.
Cosa fa cloudflared.exe su Windows
cloudflared.exe non è una VPN né una rete di anonimato. È il connettore Cloudflare che autentica un tunnel, mantiene connessioni in uscita durature e mappa un hostname pubblico a un servizio locale.
Puoi accedere una volta, creare un tunnel nominato e riutilizzarlo per un hostname stabile invece di link usa e getta.
Cloudflare documenta che ogni tunnel mantiene più connessioni durature per garantire resilienza in caso di caduta di un percorso.
Un file di configurazione può indirizzare app.example.com a http://localhost:3000 senza rendere localhost un'origine pubblica.
Puoi testare il tunnel in terminale e poi convertirlo in un servizio Windows sempre attivo.
Cloudflare Tunnel può pubblicare servizi HTTP, HTTPS, TCP, SSH, RDP e simili, ma questa guida si concentra sui siti web.
Per il flusso esatto del fornitore, confronta la tua configurazione con Guida al tunnel locale di Cloudflare e il Guida al servizio Windows.
Configurazione Windows: cloudflared.exe passo dopo passo
Questo percorso presume che un sito funzioni già localmente e che il tuo dominio usi Cloudflare DNS. L'esempio usa app.example.com e un servizio locale sulla porta 3000.
Usa PowerShell 7 per ogni comando qui sotto. Sostituisci hostname, nome tunnel e servizio locale prima di copiare.
Passo 1: definisci i valori da riutilizzare
Avvia in PowerShell 7 e sostituisci hostname, nome tunnel e servizio locale con i tuoi valori prima di continuare.
$TunnelName = "ghostly-home-site"
$PublicHostname = "app.example.com"
$LocalService = "http://localhost:3000"
$CloudflaredHome = "C:\Cloudflared\bin"
$ConfigPath = "$env:USERPROFILE\.cloudflared\config.yml"Passo 2: prepara cloudflared.exe
Rinomina il file scaricato, crea una cartella dedicata e copia l'eseguibile al suo interno.
Rename-Item "$env:USERPROFILE\Downloads\cloudflared-windows-amd64.exe" "cloudflared.exe"
New-Item -ItemType Directory -Force $CloudflaredHome
Copy-Item "$env:USERPROFILE\Downloads\cloudflared.exe" "$CloudflaredHome\cloudflared.exe"Passo 3: entra nella cartella di lavoro e verifica il binario
Entra nella cartella e verifica che cloudflared.exe parta correttamente prima di autenticarti.
Set-Location $CloudflaredHome
.\cloudflared.exe --versionPasso 4: accedi e autorizza la zona Cloudflare
Apre il browser per approvare la zona. Il certificato account viene scritto nella tua directory .cloudflared predefinita.
.\cloudflared.exe tunnel loginPasso 5: crea il tunnel nominato e salva il suo UUID
Crea il tunnel, poi incolla l'UUID dall'output del comando nella variabile sottostante per riutilizzarlo nei comandi successivi.
.\cloudflared.exe tunnel create $TunnelName
$TunnelId = "<paste-the-tunnel-uuid-from-the-create-output>"Passo 6: scrivi config.yml riga per riga
Questi comandi creano il config.yml locale nel profilo Windows così il tunnel sa quale hostname pubblico inoltrare a quale servizio locale.
Set-Content $ConfigPath "tunnel: $TunnelId"
Add-Content $ConfigPath "credentials-file: $env:USERPROFILE\.cloudflared\$TunnelId.json"
Add-Content $ConfigPath ""
Add-Content $ConfigPath "ingress:"
Add-Content $ConfigPath " - hostname: $PublicHostname"
Add-Content $ConfigPath " service: $LocalService"
Add-Content $ConfigPath " - service: http_status:404"Passo 7: rivedi e convalida la configurazione
Stampa il file una volta per controllarlo, poi lascia che cloudflared convalidi le regole ingress prima di pubblicare il DNS.
Get-Content $ConfigPath
.\cloudflared.exe tunnel ingress validatePasso 8: crea la rotta DNS e controlla il tunnel
Indica a Cloudflare quale hostname deve puntare al tunnel nominato prima di iniziare il traffico live.
.\cloudflared.exe tunnel route dns $TunnelName $PublicHostname
.\cloudflared.exe tunnel info $TunnelNamePasso 9: esegui il tunnel in primo piano
Tieni aperta questa finestra PowerShell 7 mentre testi il sito da un'altra rete. Chiudi con Ctrl+C quando finisci.
.\cloudflared.exe tunnel run $TunnelNameFallo solo dopo che il tunnel interattivo funziona. Esegui i comandi seguenti in una finestra PowerShell 7 con privilegi elevati perché il servizio usa il profilo di sistema e la voce di registro.
Passo 1 servizio: installa il servizio Windows
Apri una finestra PowerShell 7 con privilegi elevati per questo passaggio opzionale e installa prima il servizio Cloudflared.
Set-Location $CloudflaredHome
.\cloudflared.exe service installPasso 2 servizio: copia cert.pem, credenziali e config nel profilo di sistema
Il servizio Windows gira sotto il profilo di sistema, quindi necessita di una cartella .cloudflared con certificato, credenziali tunnel e config.yml.
$SystemCloudflaredHome = "C:\Windows\System32\config\systemprofile\.cloudflared"
New-Item -ItemType Directory -Force $SystemCloudflaredHome
Copy-Item "$env:USERPROFILE\.cloudflared\cert.pem" "$SystemCloudflaredHome\cert.pem"
Copy-Item "$env:USERPROFILE\.cloudflared\$TunnelId.json" "$SystemCloudflaredHome\$TunnelId.json"
Set-Content "$SystemCloudflaredHome\config.yml" "tunnel: $TunnelId"
Add-Content "$SystemCloudflaredHome\config.yml" "credentials-file: $SystemCloudflaredHome\$TunnelId.json"
Add-Content "$SystemCloudflaredHome\config.yml" ""
Add-Content "$SystemCloudflaredHome\config.yml" "ingress:"
Add-Content "$SystemCloudflaredHome\config.yml" " - hostname: $PublicHostname"
Add-Content "$SystemCloudflaredHome\config.yml" " service: $LocalService"
Add-Content "$SystemCloudflaredHome\config.yml" " - service: http_status:404"Passo 3 servizio: punta ImagePath alla config di sistema e avvia il servizio
La documentazione del servizio Windows di Cloudflare richiede che ImagePath di Cloudflared punti al file di configurazione del profilo di sistema.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Cloudflared" -Name ImagePath -Value "C:\Cloudflared\bin\cloudflared.exe --config=C:\Windows\System32\config\systemprofile\.cloudflared\config.yml tunnel run"
sc.exe start cloudflaredSegue il flusso del servizio Windows di Cloudflare: copia cert.pem e credenziali tunnel nel profilo di sistema, scrivi config.yml di sistema, poi punta ImagePath del servizio Cloudflared a quella config.
Posizionamento VPN e regole di rafforzamento
Il tunnel è privato quanto il percorso sottostante. Se vuoi che Cloudflare veda un IP VPN invece di uno residenziale, la VPN deve essere nel percorso del connettore prima che cloudflared parta.
Verifica prima l'IP pubblico sull'host. Se la macchina mostra ancora l'IP ISP, Cloudflare vedrà lo stesso IP quando il tunnel si connette.
Se la VPN cade e non c'è un firewall, cloudflared può riconnettersi tramite la normale rete residenziale.
Collega il servizio web a localhost o a un'interfaccia privata quando possibile, così il tunnel resta l'unico percorso pubblico previsto.
La documentazione di Cloudflare avverte che il debug può registrare URL, metodi, protocolli, lunghezze e header delle richieste. Usa il logging normale in operazioni quotidiane.
Scelte VPN opzionali e confronto
Vuoi una scorciatoia VPN rapida o un confronto più ampio?
Se vuoi un punto di partenza semplice, il pulsante VPN rotante sotto apre un'opzione attuale. Per confrontare molte alternative, usa la directory completa dei provider.
Scelta attuale in rotazione: NordVPN
Se il tunnel si interrompe mentre il record DNS è attivo, i visitatori vedono un errore Cloudflare finché il connettore non torna. È rumoroso ma meglio che perdere silenziosamente l'IP di casa.
Lista di verifica prima di fidarti
Non dare per scontata la privacy solo perché il sito si carica. Controlla il percorso come un operatore, non come un marketer.
Una rapida verifica esterna dovrebbe mostrare record rivolti a Cloudflare anziché un indirizzo residenziale.
Controlla prima l'IP pubblico della macchina per sapere cosa vedrà Cloudflare dal lato connettore.
Testa da rete mobile o altra rete esterna per evitare scorciatoie di routing locale.
Simula una volta il caso di errore. Se cloudflared si riconnette tramite ISP, il modello di privacy è compromesso.
Quando GhostlyShare è la via più semplice
Se ti serve solo un'anteprima pubblica temporanea, una demo rapida o un URL webhook, GhostlyShare è la soluzione più semplice, evitando gran parte della configurazione manuale Cloudflare.
Usa cloudflared manuale per controllo completo su tunnel, DNS, percorso account e hosting prolungato. Usa GhostlyShare se conta la velocità più della configurazione.
Vedi GhostlyShareDomande frequenti sull'hosting anonimo da casa
Cloudflare sa ancora chi sono?
Sì. Cloudflare conosce ancora account, zona, tunnel e IP sorgente che raggiunge il suo edge. Una VPN può sostituire l'IP residenziale che Cloudflare vede, ma non elimina il legame con l'account Cloudflare.
I visitatori vedono il mio IP di casa?
Normalmente no, se il tuo DNS punta solo a Cloudflare e non hai esposto l'origine in altro modo. I visitatori raggiungono il bordo Cloudflare e l'hostname pubblico, non l'IP residenziale dietro il tunnel.
Serve il port forwarding sul router?
No. Cloudflare Tunnel è solo in uscita, quindi il connettore si connette a Cloudflare invece di aspettare traffico in ingresso da internet.
Posso eseguire cloudflared.exe solo quando serve?
Sì. Esegui il tunnel in modo interattivo da PowerShell se ti serve il sito temporaneamente. Converti in servizio Windows solo se vuoi che la rotta resti attiva dopo logout o riavvio.
Cosa succede se la VPN cade
Senza kill switch, cloudflared può riconnettersi tramite la rete residenziale normale e Cloudflare vedrà l'IP ISP di casa. Per questo il caso di errore è importante quanto quello di successo.
È sufficiente per rendere anonimo tutto il progetto?
No. Registrazione dominio, pagamenti, email di recupero, impronte browser e comportamento admin possono ancora identificarti. Il tunnel risolve solo una parte del problema.
Guide correlate
Leggi le basi del livello di rete prima di affidarti a una VPN per nascondere l'IP sorgente che Cloudflare vede.
Guida Controlla la tua impronta digitale e l'esposizione al tracciamentoUsa la pagina impronta per ridurre indizi lato browser che possono correlare le tue sessioni admin.
Strumento GhostlyShare: condividi localhost su Windows e LinuxUsa la via desktop più semplice se vuoi un link di anteprima pubblica senza configurare manualmente tutto Cloudflare.
Cartella Provider VPN nel mondo: confronta audit, privacy e compatibilitàUsa la directory completa VPN se vuoi confrontare molti provider prima di sceglierne uno per il tunnel.