Publicação legal focada em privacidade

Hospede um site anonimamente de casa com Cloudflare Tunnel e VPN

Este guia mostra como ocultar seu IP residencial dos visitantes publicando um site local via Cloudflare Tunnel e, se quiser, usando VPN antes do cloudflared.

O limite de privacidade importa: visitantes não precisam saber seu IP residencial, mas a Cloudflare conhece sua conta e o provedor VPN sabe que você se conecta à Cloudflare.

Ver configuração no Windows Veja quem ainda vê o quê
Este artigo apoia apenas privacidade legal.

Escrito para auto-hospedagem legítima, testes, publicação e pesquisa. Não apoia fraude, malware, phishing, assédio ou ilegalidades.

Sumário

O que esta configuração realmente protege

O objetivo prático não é desaparecer de todos os provedores, mas impedir que visitantes comuns, scanners e consultas DNS rotineiras descubram seu IP residencial ou acessem seu roteador.

Oculte o IP residencial dos visitantes

O DNS pode apontar para a Cloudflare em vez do endereço residencial, evitando revelar onde o site está hospedado.

Mantenha o roteador fechado

Um túnel nomeado é apenas de saída, então não é necessário redirecionamento de porta para o site.

Limite a exposição direta da origem

Seu site pode ficar no localhost ou outra interface privada enquanto a Cloudflare gerencia o acesso público.

Preserve um modelo de ameaça realista

Isso é privacidade dos visitantes, não invisibilidade para Cloudflare, provedor VPN ou seu histórico de conta.

Quem ainda pode te identificar

A melhor forma de pensar em hospedagem anônima é separar os públicos. Cada um conhece uma parte da história.

Visitantes

  • Eles veem seu hostname público, superfície TLS e qualquer conteúdo, cabeçalhos, análises e cookies que você expõe intencionalmente.
  • Normalmente veem IPs da edge Cloudflare em vez do seu IP residencial quando o DNS aponta só para o túnel.
  • Eles ainda podem identificar o navegador do administrador se você entrar no mesmo backend pelo mesmo dispositivo ou perfil.

Cloudflare

  • A Cloudflare conhece a conta, zona, UUID do túnel, hostnames configurados e estado do túnel.
  • A Cloudflare também vê o IP de origem usado pelo cloudflared, que pode ser seu IP residencial ou o IP de saída da VPN.
  • Uma VPN pode ocultar o IP residencial da Cloudflare, mas não elimina a relação com a conta Cloudflare.

Provedor de VPN

  • O provedor VPN ainda vê que seu dispositivo mantém tráfego criptografado para a Cloudflare.
  • Se a VPN estiver ligada ao seu email ou identidade de pagamento, essa relação existe fora do túnel.
  • A VPN altera o IP de origem que a Cloudflare vê, mas não elimina a confiança que você deposita no provedor de VPN.

Seu histórico de identidade mais amplo

  • Dados do registrador, emails de recuperação, pagamentos e nomes de usuário reutilizados ainda podem vincular o projeto a você.
  • Entrar em painéis administrativos pelo navegador pessoal pode correlacionar o site com sua identidade diária.
  • Na prática, anonimato depende tanto da disciplina operacional quanto do próprio túnel.

Como funciona o caminho do tráfego

O caminho limpo é simples: o lado público termina na Cloudflare, o privado fica local, acessível só pelo cloudflared.

01 Visitante

Solicita seu hostname e alcança a rede edge da Cloudflare.

02 Cloudflare

Termina HTTPS, aplica regras e encaminha a requisição para o túnel nomeado.

03 cloudflared.exe

Mantém conexões de túnel apenas de saída do seu Windows para a Cloudflare.

04 Site local

Responde no localhost ou outra origem privada sem exposição direta à internet.

Onde a VPN fica

Se o cloudflared usar VPN antes, a Cloudflare verá o IP de saída da VPN. Sem kill switch, o cloudflared pode reconectar pelo IP residencial.

O que o cloudflared.exe faz no Windows

cloudflared.exe não é VPN nem rede de anonimato. É o conector Cloudflare que autentica o túnel, mantém conexões de saída e mapeia hostname público para serviço local.

Cria e autentica túneis nomeados

Você pode fazer login uma vez, criar um túnel nomeado e reutilizá-lo para um hostname estável, sem links descartáveis.

Mantém conexões redundantes de saída

A Cloudflare documenta que cada túnel mantém várias conexões duradouras para garantir resiliência se um caminho falhar.

Mapeia hostnames para serviços privados

Um arquivo de configuração pode direcionar app.example.com para http://localhost:3000 sem expor o localhost como origem pública.

Roda interativamente ou como serviço Windows

Você pode testar o túnel no terminal e depois convertê-lo em serviço Windows sempre ativo.

Suporta mais que sites

O Cloudflare Tunnel pode publicar serviços HTTP, HTTPS, TCP, SSH, RDP e similares, mas este guia foca em sites.

Para o fluxo exato do fornecedor, compare sua configuração com Guia local do túnel Cloudflare e o Guia do serviço Windows.

Configuração Windows: cloudflared.exe passo a passo

Este caminho assume que o site já funciona localmente e seu domínio usa DNS Cloudflare. O exemplo usa app.example.com e serviço local na porta 3000.

Use PowerShell 7 para todos os comandos abaixo. Substitua hostname, nome do túnel e serviço local antes de copiar.

01

Passo 1: defina os valores que usará

Comece no PowerShell 7 e substitua hostname, nome do túnel e serviço local pelos seus valores antes de continuar.

CLIPowerShell 7
$TunnelName = "ghostly-home-site"
$PublicHostname = "app.example.com"
$LocalService = "http://localhost:3000"
$CloudflaredHome = "C:\Cloudflared\bin"
$ConfigPath = "$env:USERPROFILE\.cloudflared\config.yml"
02

Passo 2: prepare o cloudflared.exe

Renomeie o binário baixado, crie uma pasta dedicada e copie o executável para ela.

CLIPowerShell 7
Rename-Item "$env:USERPROFILE\Downloads\cloudflared-windows-amd64.exe" "cloudflared.exe"
New-Item -ItemType Directory -Force $CloudflaredHome
Copy-Item "$env:USERPROFILE\Downloads\cloudflared.exe" "$CloudflaredHome\cloudflared.exe"
03

Passo 3: entre na pasta de trabalho e verifique o binário

Entre na pasta e confirme que o cloudflared.exe inicia sem erros antes de autenticar.

CLIPowerShell 7
Set-Location $CloudflaredHome
.\cloudflared.exe --version
04

Passo 4: faça login e autorize a zona Cloudflare

Abre o navegador para aprovar a zona. O certificado da conta é salvo no diretório padrão .cloudflared.

CLIPowerShell 7
.\cloudflared.exe tunnel login
05

Passo 5: crie o túnel nomeado e salve o UUID

Crie o túnel e cole o UUID do comando na variável abaixo para reutilização nos próximos comandos.

CLIPowerShell 7
.\cloudflared.exe tunnel create $TunnelName
$TunnelId = "<paste-the-tunnel-uuid-from-the-create-output>"
06

Passo 6: escreva o config.yml linha a linha

Esses comandos criam o config.yml local no perfil Windows para o túnel saber qual hostname público encaminhar para qual serviço local.

CLIPowerShell 7
Set-Content $ConfigPath "tunnel: $TunnelId"
Add-Content $ConfigPath "credentials-file: $env:USERPROFILE\.cloudflared\$TunnelId.json"
Add-Content $ConfigPath ""
Add-Content $ConfigPath "ingress:"
Add-Content $ConfigPath "  - hostname: $PublicHostname"
Add-Content $ConfigPath "    service: $LocalService"
Add-Content $ConfigPath "  - service: http_status:404"
07

Passo 7: revise e valide a configuração

Imprima o arquivo para revisar, depois deixe o cloudflared validar as regras antes de publicar o DNS.

CLIPowerShell 7
Get-Content $ConfigPath
.\cloudflared.exe tunnel ingress validate
08

Passo 8: crie a rota DNS e inspecione o túnel

Informa à Cloudflare qual hostname deve direcionar para o túnel nomeado antes de servir tráfego ao vivo.

CLIPowerShell 7
.\cloudflared.exe tunnel route dns $TunnelName $PublicHostname
.\cloudflared.exe tunnel info $TunnelName
09

Passo 9: execute o túnel em primeiro plano

Mantenha esta janela do PowerShell 7 aberta enquanto testa o site em outra rede. Pare com Ctrl+C quando terminar.

CLIPowerShell 7
.\cloudflared.exe tunnel run $TunnelName
Opcional: converta o túnel em serviço Windows

Faça isso só após o túnel interativo funcionar. Execute os comandos abaixo em PowerShell 7 elevado, pois o serviço usa perfil do sistema e registro.

01

Passo 1 do serviço: instale o shell do serviço Windows

Abra um PowerShell 7 elevado para esta etapa opcional e instale o serviço Cloudflared primeiro.

CLIPowerShell 7 (Admin)
Set-Location $CloudflaredHome
.\cloudflared.exe service install
02

Passo 2 do serviço: copie cert.pem, credenciais e config para o perfil do sistema

O serviço Windows roda no perfil do sistema, precisando de uma pasta .cloudflared com certificado, credenciais e config.yml.

CLIPowerShell 7 (Admin)
$SystemCloudflaredHome = "C:\Windows\System32\config\systemprofile\.cloudflared"
New-Item -ItemType Directory -Force $SystemCloudflaredHome
Copy-Item "$env:USERPROFILE\.cloudflared\cert.pem" "$SystemCloudflaredHome\cert.pem"
Copy-Item "$env:USERPROFILE\.cloudflared\$TunnelId.json" "$SystemCloudflaredHome\$TunnelId.json"
Set-Content "$SystemCloudflaredHome\config.yml" "tunnel: $TunnelId"
Add-Content "$SystemCloudflaredHome\config.yml" "credentials-file: $SystemCloudflaredHome\$TunnelId.json"
Add-Content "$SystemCloudflaredHome\config.yml" ""
Add-Content "$SystemCloudflaredHome\config.yml" "ingress:"
Add-Content "$SystemCloudflaredHome\config.yml" "  - hostname: $PublicHostname"
Add-Content "$SystemCloudflaredHome\config.yml" "    service: $LocalService"
Add-Content "$SystemCloudflaredHome\config.yml" "  - service: http_status:404"
03

Passo 3 do serviço: aponte ImagePath para config do sistema e inicie o serviço

A documentação do serviço Windows da Cloudflare exige que o ImagePath do Cloudflared aponte para o arquivo de configuração do perfil do sistema.

CLIPowerShell 7 (Admin)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Cloudflared" -Name ImagePath -Value "C:\Cloudflared\bin\cloudflared.exe --config=C:\Windows\System32\config\systemprofile\.cloudflared\config.yml tunnel run"
sc.exe start cloudflared

Segue o fluxo do serviço Windows da Cloudflare: copie cert.pem e credenciais para o perfil do sistema, crie config.yml e aponte ImagePath para ele.

Posicionamento e regras de segurança para VPN

O túnel é tão privado quanto a rota abaixo dele. Para a Cloudflare ver IP VPN em vez do residencial, a VPN deve estar ativa antes do cloudflared iniciar.

Inicie a VPN antes do cloudflared

Verifique primeiro o IP público do host. Se mostrar o IP do ISP, a Cloudflare verá esse IP ao conectar o túnel.

Use um kill switch real

Se a VPN cair e não houver firewall, o cloudflared pode reconectar pelo IP residencial.

Mantenha a origem local

Vincule o serviço web ao localhost ou interface privada para que o túnel seja o único caminho público.

Trate logs como sensíveis

A documentação da Cloudflare alerta que logs de depuração podem capturar URLs, métodos, protocolos, tamanhos e cabeçalhos. Use logs normais no dia a dia.

Opções e comparação de VPNs

Quer um atalho rápido de VPN ou uma comparação mais ampla?

Se quiser um ponto inicial simples, o botão rotativo abaixo abre uma opção atual. Para comparar mais, use o diretório completo de provedores.

Escolha atual rotativa: NordVPN

Abrir a VPN atual Ver todos os provedores de VPN

Se o túnel parar com o DNS ativo, visitantes verão erro Cloudflare até o conector voltar. É barulhento, mas evita vazamento silencioso do IP residencial.

Lista de verificação antes de confiar

Não presuma que a configuração é privada só porque o site carregou. Verifique a rota como um operador, não como um vendedor.

DNS resolve para a Cloudflare, não para seu IP residencial

Uma consulta rápida externa deve mostrar registros apontando para a Cloudflare, não para um endereço residencial.

O host mostra o IP de saída da VPN antes do túnel iniciar

Verifique o IP público da máquina para saber o que a Cloudflare verá no conector.

O site funciona em outra rede sem redirecionamento de portas

Teste usando dados móveis ou outra rede externa para evitar atalhos locais de roteamento.

A queda da VPN não permite fallback para o IP residencial

Simule uma falha. Se o cloudflared reconectar pela rota ISP, o modelo de privacidade está comprometido.

Quando GhostlyShare é o caminho mais fácil

GhostlyShare

Se precisar só de prévia pública temporária, demo rápida ou URL de webhook, GhostlyShare é mais simples, evitando configuração manual.

Use cloudflared manual para controle total do túnel, DNS, conta e hospedagem prolongada. Use GhostlyShare para rapidez sem burocracia.

Ver GhostlyShare

Perguntas frequentes sobre hospedagem anônima em casa

A Cloudflare ainda sabe quem eu sou?

Sim. A Cloudflare ainda sabe a conta, zona, túnel e IP de origem que chega à sua edge. VPN pode substituir o IP residencial, mas não remove a relação com a conta.

Os visitantes veem meu IP residencial?

Normalmente não, se seu DNS aponta só para Cloudflare e você não expôs a origem de outra forma. Visitantes acessam a Cloudflare, não o IP residencial.

Preciso redirecionar portas no roteador?

Não. O Cloudflare Tunnel é só de saída, o conector se conecta à Cloudflare, não espera tráfego de entrada da internet.

Posso executar o cloudflared.exe só quando precisar?

Sim. Execute o túnel interativamente no PowerShell para uso temporário. Converta em serviço Windows para manter a rota após logout ou reinício.

O que acontece se a VPN cair

Sem kill switch, o cloudflared pode reconectar pela rota residencial normal e a Cloudflare verá o IP do ISP. Por isso o caso de falha importa tanto quanto o de sucesso.

Isso é suficiente para tornar o projeto todo anônimo?

Não. Registro de domínio, pagamentos, emails de recuperação, impressões digitais e comportamento administrativo ainda podem identificar você. O túnel resolve só parte do problema.

Guias relacionados

Guia O que é VPN? Privacidade, Segurança e Anonimato Explicados

Entenda o básico da rede antes de depender da VPN para ocultar o IP que a Cloudflare vê.

 Guia Verifique seu Fingerprint e Exposição a Rastreamento Online

Use a página de impressão digital para reduzir pistas no navegador que correlacionam suas sessões administrativas.

 Ferramenta GhostlyShare: compartilhe localhost no Windows e Linux

Use o caminho desktop mais simples para prévia pública sem configurar todo o fluxo Cloudflare manualmente.

 Diretório Provedores de VPN no mundo: compare auditorias, privacidade e adequação

Use o diretório completo de VPNs para comparar vários provedores antes de escolher um para o túnel.