使用 Raspberry Pi 在家匿名托管网站

在家庭网络中用 Raspberry Pi 运行公开网站可能暴露远超单一 IP 的信息，本方案通过多种方式降低风险：

• 将家庭 IP 隐藏在 VPN 出口节点后，防止外界将 Raspberry Pi 流量与您的位置关联。
• 取消入站端口转发，因为 Raspberry Pi 仅维持出站的 Cloudflare Tunnel 连接。
• 让 Cloudflare 负责 TLS、缓存和 DDoS 防护，Raspberry Pi 源站保持私密。
• 保持 Raspberry Pi 自托管的低成本和灵活性，无需租用额外服务器。

该 Raspberry Pi 设计采用单一路径出站和明确的信任区，确保源站永不公开路由：

1. 访客通过 Cloudflare DNS 解析域名，HTTPS 在 Cloudflare 边缘终止。
2. 你的 Raspberry Pi 运行 cloudflared，保持仅出站的隧道连接到 Cloudflare。
3. Raspberry Pi 强制隧道流量通过 VPN 接口，Cloudflare 仅能看到 VPN 出口 IP。
4. Raspberry Pi 上的 Web 服务器响应请求，回复通过 VPN 和 Cloudflare 边缘返回。

由于 Raspberry Pi 仅发起出站连接，路由器无需开放端口给互联网，大幅减少家庭网络攻击面。

在将 Raspberry Pi 作为 Cloudflare Tunnel 后的私人家庭服务器之前，请准备以下硬件和账户：

• Raspberry Pi 4 或更新型号，至少 4GB 内存，稳定电源，高耐久 microSD 卡或 SSD。
• 安装启用 SSH 且已基本加固的 Raspberry Pi OS Lite。
• 拥有 Cloudflare 账户，域名托管在 Cloudflare DNS。
• 可访问 Cloudflare Zero Trust 控制台，创建隧道和策略。
• 无日志 VPN 提供商，支持 WireGuard 或 OpenVPN 配置文件。
• 可选：使用 Nginx、Caddy 或 Traefik 等反向代理进行路由和头部管理。

推荐的 Raspberry Pi 入门套件

硬件推荐

Raspberry Pi 4 入门套件

包含主板、电源和存储的紧凑套件可帮助你快速上线匿名托管。

去亚马逊购物

如果需要注重隐私的 VPN，经过审计的提供商如 Proton VPN 或 NordVPN 支持 Raspberry Pi 上的 WireGuard 并提供 Kill Switch 控制。

强化 Raspberry Pi 基础系统，确保网站通过 Cloudflare 公开访问时依然稳定：

1. 使用以下命令更新操作系统 sudo apt update 和 sudo apt full-upgrade, 然后重启。
2. 创建具有 sudo 权限的非 root 用户，禁用基于密码的 SSH 登录。
3. 启用自动升级，确保安全补丁自动安装。
4. 应用防火墙规则，仅允许 VPN 和 Cloudflare 所需的出站流量。
5. 通过仅允许密钥登录加固 SSH，启用 fail2ban 或 CrowdSec 限制暴力破解。
6. 在 systemd 下运行 Raspberry Pi 网站服务，确保崩溃后自动重启。

接下来，确保 Raspberry Pi Tunnel 只能通过加密的 VPN 路径访问互联网：

1. 从 VPN 提供商生成 WireGuard 或 OpenVPN 配置文件。WireGuard 在 Raspberry Pi 上通常更快。
2. 导入配置。WireGuard 配置文件放置于 /etc/wireguard/wg0.conf.
3. 启动 VPN 并将 VPN 接口设为 Raspberry Pi 出站流量的默认路由。
4. 使用 systemd networkd 或 NetworkManager 启用开机自动启动。
5. 使用 iptables 或 nftables 实现 Kill Switch，确保无 VPN 时 cloudflared 无法连接。
6. 通过以下命令确认出口 IP curl https://ifconfig.me 确保 Cloudflare 只看到 VPN 地址。

VPN 启动后，在 Raspberry Pi 上创建 Cloudflare Tunnel，将 HTTPS 请求代理到本地 Web 服务器：

1. 从官方仓库安装 cloudflared，或使用独立二进制文件。
2. 使用以下方式认证 cloudflared tunnel login 以连接你的账户。
3. 创建一个命名隧道，例如 cloudflared tunnel create anonymous-site 并记录 UUID。
4. 编写 /etc/cloudflared/config.yml 通过入口规则将你的主机名映射到运行在 Raspberry Pi 上的 Web 服务。
5. 通过保持 VPN 接口的默认路由并执行 Kill Switch 规则，强制隧道使用 VPN 路径。
6. 创建 systemd 服务，确保隧道开机启动并在失败时重启。
7. 创建 Cloudflare DNS 记录（CNAME），将主机名指向 cfargotunnel.com 下的隧道 UUID。

之后，访问者通过 Cloudflare 访问网站，Raspberry Pi 源站保持私密，无法被直接扫描。

查阅官方 Cloudflare Tunnel 文档，获取更深入的策略指导。

多层防护确保 Raspberry Pi 家庭托管即使单点失效也能保持韧性：

• 使用 Cloudflare Zero Trust 策略或服务令牌保护敏感路径。
• 启用 WAF 规则、机器人防护和速率限制，减少滥用。
• 使用仅限隧道的源站证书，强制端到端 HTTPS。
• 在 Pi 上运行 fail2ban 或 CrowdSec，阻止重复认证尝试。
• 将公共内容与管理面板分离，使用 Cloudflare Access 保护私有工具。
• 通过 VPN 将清理后的日志发送到远程收集器，最大限度减少元数据泄露。

监控 Raspberry Pi 各层，防止故障导致源站 IP 泄露：

• 运行 cloudflared tunnel info 以确认连接器状态正常。
• 使用以下命令查询 DNS dig +short 并验证解析结果为 Cloudflare 边缘 IP。
• 检查 VPN 接口状态 wg show 或 openvpn --status 确认加密已激活。
• 使用 Netdata、Prometheus Node Exporter 或 Grafana Agent 监控 Raspberry Pi 的 CPU、内存、磁盘健康和带宽。
• 安排正常运行时间检查，确保隧道或 VPN 中断时快速收到警报。
• 查看 Cloudflare 分析，关注流量激增、阻断和探测迹象。

如果网站交付快速且稳定，Raspberry Pi 托管的网站依然可以获得良好排名：

• 启用 Cloudflare 缓存和性能功能，确保全球快速加载资源。
• 使用 Brotli 和 HTTP/3，降低访客与 Cloudflare 边缘的延迟。
• 将静态资源卸载到 Cloudflare Workers 或 Pages，动态逻辑保留在 Raspberry Pi 上。
• 添加 JSON-LD 结构化数据，提升丰富结果的展示机会。
• 通过隧道自动化部署，避免暴露管理端口。
• 使用隐私友好的分析工具监控核心网页指标，及早修复性能回退。

通过将内容交付与 Raspberry Pi 源站管理分离，实现全球性能优化且保护隐私。

深入了解以下隐私与安全资源：