Guia de privacidade do Cloudflare Tunnel

Limites de privacidade do Cloudflare Tunnel + VPN explicados

O Cloudflare Tunnel pode ocultar seu IP residencial dos visitantes, e uma VPN pode alterar o IP que a Cloudflare vê. Essa combinação é útil, mas não torna o site anônimo sozinho.

Este guia separa o mito comum do Cloudflare VPN da configuração real: cloudflared conecta para fora à Cloudflare, roteamento VPN opcional fica antes do conector, e sua conta, domínio, navegador e rastros de pagamento ainda importam.

Resposta curta: Tunnel mais VPN é roteamento de privacidade, não anonimato

Use Cloudflare Tunnel quando quiser que visitantes acessem um site sem saber seu IP residencial ou acessar seu roteador. Adicione VPN só se precisar impedir que Cloudflare veja o IP do conector residencial.

Mesmo assim, a Cloudflare mantém conta, zona, túnel, hostname e relação de tráfego. O provedor VPN pode ver que seu conector fala com a Cloudflare. Visitantes ainda identificam o site por conteúdo, contas, análises, cookies e impressões digitais do navegador.

Não existe produto oficial chamado Cloudflare VPN.

Neste artigo, Cloudflare Tunnel significa o conector cloudflared. VPN é um serviço separado antes do cloudflared ou o Cloudflare WARP como cliente distinto, não uma camada mágica de anonimato.

Cloudflare Tunnel, WARP e VPN são coisas diferentes

A maior confusão começa com os termos. Cloudflare Tunnel publica uma origem privada via Cloudflare. WARP é o cliente da Cloudflare para rotear tráfego do usuário. Um provedor VPN é uma rede separada que você escolhe para rotear seu conector.

TermoO que significa aquiLimite de privacidade
Cloudflare Tunnelcloudflared cria conexões de saída da sua origem para a Cloudflare e mapeia hostnames públicos para serviços privados.Protege a origem dos visitantes, não da própria Cloudflare.
VPN antes do cloudflaredO tráfego do conector é roteado por um cliente VPN antes de chegar à Cloudflare.A Cloudflare pode ver o IP de saída da VPN, enquanto o provedor de VPN pode ver o tráfego para a Cloudflare.
Cloudflare WARPCliente de dispositivo da Cloudflare para rotear tráfego do usuário pelos serviços Cloudflare.Não é a mesma coisa que publicar um site com Cloudflare Tunnel.
Cloudflare VPNUma expressão vaga usada para várias ideias diferentes envolvendo Cloudflare e VPN.Evite a expressão ao planejar; nomeie o produto ou rota exata que deseja.

Quem vê o quê numa configuração Tunnel mais VPN

A forma mais segura de entender a configuração é separar os públicos. Cada um vê uma parte da cadeia, e nenhum deve ser tratado como cego.

VisualizadorO que eles podem verO que geralmente não veemRisco principal
VisitanteHostname, conteúdo, cabeçalhos, cookies, análises e comportamento na borda da Cloudflare.O IP de origem residencial quando DNS e roteamento apontam só para a Cloudflare.Conteúdo ou impressões digitais do navegador ainda podem identificar o operador.
CloudflareConta, zona, ID do túnel, nomes públicos, caminho da requisição e IP de origem do conector.O IP do conector residencial somente se a rota VPN estiver funcionando e aplicada.Uma conta fraca ou identidade reutilizada ainda conecta o projeto a você.
Provedor de VPNQue sua máquina mantém tráfego criptografado para a Cloudflare. Dependendo do provedor, dados de conta e pagamento podem existir.Conteúdo do visitante quando o caminho HTTPS público está entre visitantes e Cloudflare.Você transferiu a confiança da rota do ISP para o provedor VPN.
Registrador e contasPropriedade do domínio, email de recuperação, faturamento e histórico de login.Nada na configuração da rede corrige separação fraca de contas.Vazamentos de identidade administrativa podem comprometer a privacidade da rede.

Problema de queda da VPN: cloudflared pode se reconectar pela rota normal

Se o cloudflared puder usar a rede normal quando a VPN desconectar, a Cloudflare pode ver o IP residencial de novo. Esse é um caso de falha comum que muitos ignoram.

Kill switch deve proteger o cloudflared

Um kill switch que funcione só no navegador ou no app não é suficiente se o processo cloudflared ainda puder usar a rota padrão normal.

Reconexões são comportamento normal

Um conector de túnel é feito para manter a rota ativa. Se um caminho desaparecer, ele pode se reconectar por outro disponível.

Regras de roteamento precisam de comprovação

Use regras de firewall, vinculação de interface ou controles do provedor só se puder verificar que o cloudflared está bloqueado fora da rota VPN.

Registro de logs precisa ser controlado

Não publique logs ou capturas que mostrem IDs de conector, IPs de origem, emails da conta ou hostnames privados.

Não confie na configuração sem testar falhas.

Pare a VPN, reinicie o cloudflared, reinicie a máquina e verifique a origem do conector no lado da Cloudflare antes de chamar a rota de privada. Kill switch só é útil se bloquear o cloudflared fora da rota VPN.

Tunnel mais VPN não substitui separação de identidade

Roteamento de rede é só uma camada. Se domínio, email, pagamento, navegador admin, conta de análise e estilo de escrita apontam para sua identidade, o túnel não resolve.

Domínio e DNS

Use contas separadas no registrador, emails de recuperação e acesso DNS quando o projeto não deve se conectar à infraestrutura pessoal.

Navegador do administrador

Não gerencie o site no mesmo perfil do navegador que contém logins pessoais, cookies, extensões e identidade sincronizada.

Pagamentos

Um cartão, endereço de fatura ou email reutilizado pode identificar o projeto mesmo com o IP público oculto.

Estilo do conteúdo

Estilo de escrita, avatares reutilizados, IDs de análise, nomes de repositórios e canais de suporte podem ligar o projeto a você.

Quando usar só Tunnel, Tunnel mais VPN, GhostlyShare ou VPS

Escolha a rota mais simples que resolva o problema real de exposição. Usar VPN pode aumentar a privacidade, mas também traz riscos, rastros e manutenção.

RotaUse quandoEvitar quando
Somente Cloudflare TunnelVocê quer um hostname público estável sem expor seu roteador residencial aos visitantes.A Cloudflare não deve ver o IP residencial do conector.
Roteamento Cloudflare Tunnel com VPNVocê pode garantir que o cloudflared só conecte por uma rota VPN testada.Você não pode testar falhas da VPN, comportamento do kill switch, reinícios e logs.
GhostlyShareVocê precisa de uma prévia temporária localhost, callback webhook, link demo ou compartilhamento protegido rápido.Você precisa de uma rota de produção permanente com manutenção a longo prazo.
VPS ou servidor dedicadoVocê quer isolamento mais limpo da sua rede residencial e pode manter um servidor.Você só precisa de uma prévia curta ou não pode atualizar e monitorar o servidor.
GhostlyShare é uma opção mais leve para prévias temporárias.

Se precisar só de uma prévia pública localhost, link demo ou callback webhook por pouco tempo, GhostlyShare evita transformar a configuração em hospedagem residencial permanente.

Abrir GhostlyShare

Dica VPN: escolha provedor para o caso de falha que pode testar

VPN opcional

Escolha a VPN pelo caso de falha, não só pelo preço.

Se a Cloudflare deve ver um IP de saída VPN, escolha um provedor com kill switch e rota WireGuard testáveis na máquina com cloudflared. Proton VPN é a opção prioritária para privacidade; NordVPN é alternativa prática para velocidade, app e servidores.

Escolha atual rotativa: Proton VPN

Documentação oficial para consultar antes de confiar

A Cloudflare altera detalhes dos produtos com o tempo. Antes de depender da rota, confira a documentação atual de Tunnel, Hostname Público, WARP e Split Tunnel.

Perguntas frequentes sobre privacidade do Cloudflare Tunnel e VPN

Perguntas frequentes

Cloudflare Tunnel mais VPN tornam um site anônimo?

Não. Pode ocultar o IP residencial dos visitantes e talvez o IP do conector residencial da Cloudflare, mas contas, propriedade do domínio, pagamentos, navegação admin, conteúdo e logs do provedor ainda identificam o operador.

Cloudflare Tunnel é uma VPN?

Não. Cloudflare Tunnel é um conector que publica serviços privados via Cloudflare sem encaminhamento de portas. VPN roteia tráfego do dispositivo por um servidor VPN. Cloudflare WARP é outro cliente separado.

O que acontece se a VPN cair enquanto o cloudflared estiver ativo?

Se nada bloquear o cloudflared fora da rota VPN, ele pode se reconectar pela rota normal do ISP. Teste reinícios, desconexões da VPN e reinicializações antes de confiar na privacidade.

Quando GhostlyShare é melhor que Cloudflare Tunnel mais VPN?

Use GhostlyShare quando precisar de prévia pública temporária localhost, demo ou callback webhook e não quiser manter hospedagem residencial permanente.