Legalne publikowanie z naciskiem na prywatność
Hostuj stronę anonimowo z domu dzięki Cloudflare Tunnel i VPN
Ten przewodnik pokazuje, jak ukryć domowy IP przed odwiedzającymi, publikując lokalną stronę przez Cloudflare Tunnel i opcjonalnie kierując cloudflared przez VPN.
Granica prywatności ma znaczenie: odwiedzający nie muszą znać twojego domowego IP, ale Cloudflare zna twoje konto, a dostawca VPN wie, że łączysz się z Cloudflare.
Tekst jest przeznaczony do legalnego samodzielnego hostingu, testów, publikacji i badań. Nie wspiera oszustw, malware, phishingu, nękania ani innych nielegalnych działań.
Spis treści
Co ta konfiguracja faktycznie chroni
Praktycznym celem nie jest zniknięcie u każdego dostawcy, lecz uniemożliwienie zwykłym odwiedzającym, skanerom i rutynowym zapytaniom DNS poznania twojego domowego IP lub bezpośredniego dostępu do routera.
DNS może wskazywać na Cloudflare zamiast na adres domowy, więc przypadkowe zapytania nie ujawnią lokalizacji strony.
Tunel nazwany działa tylko wychodząco, więc nie potrzebujesz przekierowania portów do samej strony.
Twoja strona może pozostać na localhost lub innym prywatnym interfejsie, podczas gdy Cloudflare obsługuje publiczny dostęp.
To prywatność względem odwiedzających, nie niewidzialność dla Cloudflare, dostawcy VPN czy twojej ścieżki konta.
Kto nadal może cię zidentyfikować
Najczystszy sposób myślenia o anonimowym hostingu domowym to rozdzielenie odbiorców. Każdy poznaje inną część historii.
Odwiedzający
- Widzą twoją publiczną nazwę hosta, powierzchnię TLS oraz dowolne treści, nagłówki, analitykę i ciasteczka, które świadomie udostępniasz.
- Zazwyczaj widzą adresy IP brzegów Cloudflare zamiast twojego domowego IP, gdy DNS wskazuje tylko na tunel.
- Mogą nadal identyfikować przeglądarkę administratora, jeśli logujesz się do tego samego zaplecza z tego samego urządzenia lub profilu przeglądarki.
Cloudflare
- Cloudflare zna konto, strefę, UUID tunelu, skonfigurowane nazwy hostów i stan tunelu.
- Cloudflare widzi też adres IP źródła, którego używa cloudflared do połączenia, czyli twój domowy IP lub adres wyjścia VPN.
- VPN może ukryć domowy adres IP przed Cloudflare, ale nie usuwa powiązania z kontem Cloudflare.
Dostawca VPN
- Dostawca VPN nadal widzi, że twoje urządzenie utrzymuje zaszyfrowany ruch do Cloudflare.
- Jeśli VPN jest powiązany z twoim zwykłym e-mailem lub tożsamością płatniczą, to powiązanie istnieje poza tunelem.
- VPN zmienia adres IP źródła widziany przez Cloudflare, ale nie usuwa zaufania do dostawcy VPN.
Twoja szersza ścieżka tożsamości
- Dane rejestratora domeny, skrzynki odzyskiwania, płatności i powtarzające się nazwy użytkowników mogą nadal powiązać projekt z tobą.
- Logowanie do paneli admina z osobistego profilu przeglądarki może powiązać stronę z twoją codzienną tożsamością.
- W praktyce anonimowość zależy od dyscypliny operacyjnej tak samo jak od samego tunelu.
Jak działa ścieżka ruchu
Prosta ścieżka: strona publiczna kończy się na Cloudflare, a prywatna pozostaje lokalną usługą dostępną tylko dla cloudflared.
Żąda twojej nazwy hosta i łączy się z siecią brzegową Cloudflare.
Kończy HTTPS, stosuje reguły i przekazuje żądanie do tunelu nazwanego.
Utrzymuje tylko wychodzące połączenia tunelowe z twojego Windows do Cloudflare.
Odpowiada na localhost lub innym prywatnym adresie źródłowym, nie będąc bezpośrednio widocznym w internecie.
Jeśli cloudflared najpierw korzysta z VPN, Cloudflare widzi adres wyjścia VPN jako źródło łącznika zamiast twojego domowego IP. Bez kill switcha, po utracie VPN cloudflared może połączyć się przez normalną trasę ISP.
Co robi cloudflared.exe na Windows
cloudflared.exe nie jest VPN ani siecią anonimową. To łącznik Cloudflare, który uwierzytelnia tunel, utrzymuje długotrwałe połączenia wychodzące i mapuje publiczną nazwę hosta na lokalną usługę.
Możesz zalogować się raz, utworzyć tunel nazwany i używać go dla stabilnej nazwy hosta zamiast tymczasowych linków.
Cloudflare dokumentuje, że każdy tunel utrzymuje wiele długotrwałych połączeń, by trasa była odporna na przerwy.
Plik konfiguracyjny może przekierować app.example.com na http://localhost:3000, nie udostępniając localhost jako publicznego źródła.
Możesz najpierw przetestować tunel w terminalu, a potem zamienić go na usługę Windows działającą cały czas.
Cloudflare Tunnel może udostępniać HTTP, HTTPS, TCP, SSH, RDP i podobne usługi prywatne, ale ten przewodnik skupia się na stronach www.
Aby poznać dokładny przebieg u dostawcy, porównaj swoją konfigurację z Przewodnik po lokalnym tunelu Cloudflare oraz Przewodnik po usłudze Windows.
Konfiguracja Windows: cloudflared.exe krok po kroku
Ta ścieżka zakłada, że strona działa lokalnie, a twoja domena korzysta już z DNS Cloudflare. Przykład używa app.example.com i lokalnej usługi na porcie 3000.
Używaj PowerShell 7 do każdego poniższego polecenia. Zamień przykładową nazwę hosta, tunelu i lokalnej usługi przed kopiowaniem.
Krok 1: zdefiniuj wartości do ponownego użycia
Uruchom w PowerShell 7 i zamień przykładową nazwę hosta, tunelu i lokalnej usługi na własne wartości przed kontynuacją.
$TunnelName = "ghostly-home-site"
$PublicHostname = "app.example.com"
$LocalService = "http://localhost:3000"
$CloudflaredHome = "C:\Cloudflared\bin"
$ConfigPath = "$env:USERPROFILE\.cloudflared\config.yml"Krok 2: przygotuj cloudflared.exe
Zmień nazwę pobranego pliku, utwórz dla niego dedykowany folder i skopiuj tam plik wykonywalny.
Rename-Item "$env:USERPROFILE\Downloads\cloudflared-windows-amd64.exe" "cloudflared.exe"
New-Item -ItemType Directory -Force $CloudflaredHome
Copy-Item "$env:USERPROFILE\Downloads\cloudflared.exe" "$CloudflaredHome\cloudflared.exe"Krok 3: przejdź do folderu roboczego i zweryfikuj plik binarny
Przejdź do folderu i upewnij się, że cloudflared.exe uruchamia się poprawnie przed autoryzacją.
Set-Location $CloudflaredHome
.\cloudflared.exe --versionKrok 4: zaloguj się i autoryzuj strefę Cloudflare
To otwiera przeglądarkę, abyś mógł zatwierdzić strefę. Certyfikat konta jest zapisywany w domyślnym katalogu .cloudflared.
.\cloudflared.exe tunnel loginKrok 5: utwórz tunel nazwany i zapisz jego UUID
Utwórz tunel, a następnie wklej UUID z wyniku polecenia do poniższej zmiennej, aby kolejne polecenia mogły go użyć.
.\cloudflared.exe tunnel create $TunnelName
$TunnelId = "<paste-the-tunnel-uuid-from-the-create-output>"Krok 6: napisz config.yml linia po linii
Te polecenia tworzą lokalny config.yml w twoim profilu Windows, aby tunel wiedział, która publiczna nazwa hosta ma przekierować do której lokalnej usługi.
Set-Content $ConfigPath "tunnel: $TunnelId"
Add-Content $ConfigPath "credentials-file: $env:USERPROFILE\.cloudflared\$TunnelId.json"
Add-Content $ConfigPath ""
Add-Content $ConfigPath "ingress:"
Add-Content $ConfigPath " - hostname: $PublicHostname"
Add-Content $ConfigPath " service: $LocalService"
Add-Content $ConfigPath " - service: http_status:404"Krok 7: przejrzyj i zweryfikuj konfigurację
Wydrukuj plik raz, aby go sprawdzić, potem pozwól cloudflared zweryfikować reguły ingress przed publikacją DNS.
Get-Content $ConfigPath
.\cloudflared.exe tunnel ingress validateKrok 8: utwórz trasę DNS i sprawdź tunel
To mówi Cloudflare, która nazwa hosta ma kierować do tunelu nazwanego, zanim zaczniesz obsługiwać ruch na żywo.
.\cloudflared.exe tunnel route dns $TunnelName $PublicHostname
.\cloudflared.exe tunnel info $TunnelNameKrok 9: uruchom tunel na pierwszym planie
Trzymaj to okno PowerShell 7 otwarte podczas testów z innej sieci. Zakończ Ctrl+C po skończeniu.
.\cloudflared.exe tunnel run $TunnelNameWykonuj to dopiero po działającym tunelu interaktywnym. Uruchom poniższe polecenia w podniesionym oknie PowerShell 7, bo usługa korzysta ze ścieżki profilu systemowego i wpisu w rejestrze.
Krok 1 usługi: zainstaluj powłokę usługi Windows
Otwórz podniesione okno PowerShell 7 i najpierw zainstaluj usługę Cloudflared.
Set-Location $CloudflaredHome
.\cloudflared.exe service installKrok 2 usługi: skopiuj cert.pem, dane uwierzytelniające i konfigurację do profilu systemowego
Usługa Windows działa pod profilem systemowym, więc potrzebuje własnego folderu .cloudflared z certyfikatem, danymi tunelu i config.yml.
$SystemCloudflaredHome = "C:\Windows\System32\config\systemprofile\.cloudflared"
New-Item -ItemType Directory -Force $SystemCloudflaredHome
Copy-Item "$env:USERPROFILE\.cloudflared\cert.pem" "$SystemCloudflaredHome\cert.pem"
Copy-Item "$env:USERPROFILE\.cloudflared\$TunnelId.json" "$SystemCloudflaredHome\$TunnelId.json"
Set-Content "$SystemCloudflaredHome\config.yml" "tunnel: $TunnelId"
Add-Content "$SystemCloudflaredHome\config.yml" "credentials-file: $SystemCloudflaredHome\$TunnelId.json"
Add-Content "$SystemCloudflaredHome\config.yml" ""
Add-Content "$SystemCloudflaredHome\config.yml" "ingress:"
Add-Content "$SystemCloudflaredHome\config.yml" " - hostname: $PublicHostname"
Add-Content "$SystemCloudflaredHome\config.yml" " service: $LocalService"
Add-Content "$SystemCloudflaredHome\config.yml" " - service: http_status:404"Krok 3 usługi: wskaż ImagePath na konfigurację systemową i uruchom usługę
Dokumentacja usługi Windows Cloudflare wymaga, by ImagePath Cloudflared wskazywał plik konfiguracyjny profilu systemowego.
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Cloudflared" -Name ImagePath -Value "C:\Cloudflared\bin\cloudflared.exe --config=C:\Windows\System32\config\systemprofile\.cloudflared\config.yml tunnel run"
sc.exe start cloudflaredTo odzwierciedla proces usługi Windows Cloudflare: skopiuj cert.pem i dane tunelu do profilu systemowego, napisz config.yml profilu systemowego, a następnie wskaż ImagePath usługi Cloudflared na ten config.
Umiejscowienie VPN i zasady zabezpieczeń
Tunel jest prywatny tylko na tyle, na ile prywatna jest trasa pod spodem. Jeśli chcesz, by Cloudflare widziało adres wyjścia VPN zamiast domowego IP, VPN musi być częścią ścieżki łącznika przed startem cloudflared.
Najpierw zweryfikuj publiczny IP na hoście. Jeśli maszyna nadal pokazuje IP ISP, Cloudflare zobaczy ten sam IP przy połączeniu tunelu.
Jeśli VPN przestanie działać i nie ma wymuszenia zapory, cloudflared może połączyć się przez normalną trasę domową.
Przypisz usługę sieciową do localhost lub prywatnego interfejsu, aby tunel był jedyną publiczną ścieżką.
Dokumentacja Cloudflare ostrzega, że debugowanie może rejestrować URL, metody, protokoły, długości treści i nagłówki. Używaj zwykłego logowania na co dzień.
Opcjonalne wybory VPN i porównanie
Chcesz szybki skrót VPN czy szersze porównanie?
Jeśli chcesz prosty start, poniższy przycisk VPN otwiera jedną aktualną opcję. Jeśli chcesz porównać wiele, skorzystaj z pełnego katalogu dostawców.
Aktualny wybór rotacyjny: NordVPN
Jeśli tunel przestanie działać, a rekord DNS pozostanie aktywny, odwiedzający zobaczą błąd Cloudflare do czasu powrotu łącznika. To głośne, ale lepsze niż ciche wycieki domowego IP.
Lista kontrolna weryfikacji przed zaufaniem
Nie zakładaj, że konfiguracja jest prywatna tylko dlatego, że strona się załadowała. Sprawdź trasę jak operator, nie marketer.
Szybkie zewnętrzne sprawdzenie powinno pokazać rekordy Cloudflare, a nie adres domowy.
Sprawdź najpierw publiczny adres IP maszyny, aby wiedzieć, co zobaczy Cloudflare po stronie łącznika.
Testuj z danych mobilnych lub innej sieci zewnętrznej, by nie dać się zwieść lokalnym skrótom trasowania.
Symuluj raz przypadek awarii. Jeśli cloudflared połączy się ponownie przez trasę ISP, model prywatności jest naruszony.
Kiedy GhostlyShare jest prostszą opcją
Jeśli potrzebujesz tylko tymczasowego podglądu publicznego, szybkiej prezentacji klientowi lub URL webhooka, GhostlyShare to prostsza opcja, omijająca większość ręcznej konfiguracji Cloudflare, DNS i config.yml.
Używaj manualnego cloudflared, gdy chcesz pełnej kontroli nad tunelem, DNS, ścieżką konta usługi i długotrwałym hostingiem domowym. GhostlyShare wybierz, gdy liczy się szybkość ponad formalności.
Zobacz GhostlyShareNajczęściej zadawane pytania o anonimowy hosting domowy
Czy Cloudflare nadal wie, kim jestem?
Tak. Cloudflare nadal zna konto, strefę, tunel i adres IP źródła docierający do jego krawędzi. VPN może zastąpić domowy IP widziany przez Cloudflare, ale nie usuwa powiązania z kontem Cloudflare.
Czy odwiedzający widzą mój domowy adres IP?
Zazwyczaj nie, jeśli DNS wskazuje tylko na Cloudflare i nie ujawniłeś źródła w inny sposób. Odwiedzający trafiają do Cloudflare i publicznej nazwy hosta, nie do domowego IP za tunelem.
Czy potrzebuję przekierowania portów w routerze?
Nie. Cloudflare Tunnel działa tylko wychodząco, więc łącznik łączy się z Cloudflare, nie czekając na ruch przychodzący z internetu.
Czy mogę uruchamiać cloudflared.exe tylko w razie potrzeby?
Tak. Uruchom tunel interaktywnie z PowerShell, gdy potrzebujesz strony tymczasowo. Zamień na usługę Windows, gdy chcesz, by trasa była dostępna po wylogowaniu lub restarcie.
Co się dzieje, gdy VPN przestaje działać
Bez kill switcha cloudflared może połączyć się ponownie przez normalną trasę domową, a Cloudflare zobaczy domowy IP ISP. Dlatego przypadek awarii jest tak samo ważny jak sukces.
Czy to wystarczy, by cały projekt był anonimowy?
Nie. Rejestracja domeny, płatności, e-maile odzyskiwania, odciski przeglądarki i zachowanie administratora mogą nadal cię zidentyfikować. Tunel rozwiązuje tylko część problemu ekspozycji.
Powiązane przewodniki
Przeczytaj podstawy warstwy sieciowej, zanim polegasz na VPN, by ukryć adres IP źródła widziany przez Cloudflare.
Poradnik Sprawdź swój odcisk palca online i poziom śledzeniaUżyj strony odcisku palca, aby zmniejszyć wskazówki po stronie przeglądarki, które mogą powiązać twoje sesje admina.
Narzędzie GhostlyShare: udostępnianie localhost na Windows i LinuxWybierz prostszą trasę desktopową, gdy chcesz publiczny link podglądu bez ręcznego budowania pełnego workflow Cloudflare.
Katalog Dostawcy VPN na świecie: porównaj audyty, prywatność i dopasowanieSkorzystaj z pełnego katalogu VPN, jeśli chcesz porównać wielu dostawców przed wyborem trasy tunelu.