使用 Cloudflare Tunnel 與 VPN 在家匿名架設網站 | 2026

在家網路運行服務可能洩露的不只是 IP，匿名架站能有效降低風險，具體做法包括：

• 將住宅 IP 隱藏於 VPN 出口節點後，外界無法追蹤流量來源位置。
• 因 Cloudflare Tunnel 僅維持出站連線，無需開放入站端口。
• 讓 Cloudflare 負責 TLS、快取與 DDoS 防護，您的原始伺服器保持私密。
• 保有自架主機的自由，同時滿足個人或客戶的隱私需求。

此設計採用單一路徑出站與明確信任區域，確保原始伺服器不會公開可路由：

1. 訪客透過 Cloudflare DNS 解析您的網域，HTTPS 連線終止於 Cloudflare 邊緣節點。
2. 您的 Raspberry Pi 運行 cloudflared，維持僅出站的隧道連線至 Cloudflare。
3. 隧道流量強制經由 VPN 介面，Cloudflare 只會看到 VPN 出口 IP。
4. 本地網頁伺服器回應，回覆經由 VPN 與 Cloudflare 邊緣節點返回。

由於連線僅出站，路由器不會對外開放端口，大幅縮小家用網路攻擊面。

部署 Cloudflare Tunnel 並搭配 VPN 前，請準備以下硬體與帳號：

• Raspberry Pi 4 或更新機型，至少 4GB 記憶體，穩定電源，以及高耐久度 microSD 卡或 SSD。
• 安裝 Raspberry Pi OS Lite，啟用 SSH 並進行基本安全強化。
• 擁有 Cloudflare 帳號，並將網域託管於 Cloudflare DNS。
• 可使用 Cloudflare Zero Trust 控制台建立隧道與設定政策。
• 無日誌紀錄的 VPN 服務商，支援 WireGuard 或 OpenVPN 配置檔。
• 選用：反向代理伺服器，如 Nginx、Caddy 或 Traefik，用於路由與標頭管理。

推薦的 Raspberry Pi 入門套件

硬體推薦

Raspberry Pi 4 入門套件

包含主板、電源與儲存的緊湊套件可協助你快速上線匿名託管。

前往亞馬遜購物

若需注重隱私的 VPN，可考慮經過審核的服務商如 Proton VPN 或 NordVPN 支援 Raspberry Pi 上的 WireGuard 並提供 Kill Switch 控制。

強化基礎系統，確保即使網站公開於 Cloudflare 也能穩定運作：

1. 使用以下指令更新作業系統： sudo apt update 及 sudo apt full-upgrade, 然後重新啟動。
2. 建立具 sudo 權限的非 root 使用者，並停用密碼登入 SSH。
3. 啟用自動更新，讓安全補丁自動安裝。
4. 設定防火牆規則，只允許 VPN 與 Cloudflare 所需的出站流量。
5. 強化 SSH 僅允許金鑰登入，並啟用 fail2ban 或 CrowdSec 防止暴力破解。
6. 將網站服務設為 systemd 管理，確保崩潰後自動重啟。

接著，確保隧道只能透過加密的 VPN 路徑連網：

1. 從 VPN 服務商產生 WireGuard 或 OpenVPN 配置檔，WireGuard 在 Raspberry Pi 上通常較快。
2. 匯入設定檔，WireGuard 請放置於 /etc/wireguard/wg0.conf.
3. 啟動 VPN，並將 VPN 介面設為出站流量的預設路由。
4. 使用 systemd networkd 或 NetworkManager 設定開機自動啟動。
5. 利用 iptables 或 nftables 實作 Kill Switch，防止 cloudflared 未經 VPN 連線。
6. 使用以下指令確認出口 IP： curl https://ifconfig.me 確保 Cloudflare 只會看到 VPN 的 IP。

VPN 啟動後，建立 Cloudflare Tunnel，將 HTTPS 請求代理至本地網頁伺服器：

1. 從官方套件庫安裝 cloudflared，或使用獨立執行檔。
2. 使用以下方式認證： cloudflared tunnel login 以連接您的帳號。
3. 建立具名隧道，例如 cloudflared tunnel create anonymous-site 並記下 UUID。
4. 撰寫 /etc/cloudflared/config.yml 設定 ingress 規則，將您的主機名稱對應到本地網頁伺服器。
5. 強制隧道使用 VPN 路徑，保持 VPN 介面為預設路由並執行 Kill Switch 規則。
6. 建立 systemd 服務，讓隧道開機自動啟動並於失敗時重啟。
7. 建立 Cloudflare DNS 紀錄（CNAME），將您的主機名稱指向 cfargotunnel.com 下的隧道 UUID。

完成後，訪客透過 Cloudflare 訪問您的網站，Raspberry Pi 原始伺服器保持私密且無法被直接掃描。

參考官方 Cloudflare Tunnel 文件，獲得更深入的政策指引。

多層防禦確保匿名家用架站即使部分防護失效仍具韌性：

• 使用 Cloudflare Zero Trust 政策或服務令牌保護敏感路徑。
• 啟用 WAF 規則、機器人防護與速率限制，降低濫用風險。
• 使用限定於隧道的原始憑證，並強制端對端 HTTPS。
• 在 Pi 上運行 fail2ban 或 CrowdSec，阻擋重複認證嘗試。
• 將公開內容與管理後台分離，並以 Cloudflare Access 保護私有工具。
• 透過 VPN 傳送已清理的日誌至遠端收集器，減少元資料暴露。

監控每個層級，避免故障導致原始 IP 意外外洩：

• 執行 cloudflared tunnel info 以確認連接器狀態正常。
• 使用以下指令查詢 DNS： dig +short 並確認解析結果為 Cloudflare 邊緣節點 IP。
• 檢查 VPN 介面狀態： wg show 或 openvpn --status 以確認加密連線已啟用。
• 使用 Netdata、Prometheus Node Exporter 或 Grafana Agent 監控 CPU、記憶體與頻寬。
• 排程正常運作檢查，若隧道或 VPN 中斷可快速收到警示。
• 檢視 Cloudflare 分析，留意流量激增、封鎖與疑似探測行為。

匿名架站若傳遞快速且穩定，仍能獲得良好排名：

• 啟用 Cloudflare 快取與效能功能，讓資源全球快速載入。
• 使用 Brotli 與 HTTP/3，降低訪客與 Cloudflare 邊緣節點間延遲。
• 將靜態資源卸載至 Cloudflare Workers 或 Pages，動態邏輯留在 Pi。
• 適當加入 JSON-LD 結構化資料，提升豐富結果的機會。
• 透過隧道自動化部署，避免暴露管理端口。
• 使用注重隱私的分析工具監控核心網頁指標，及早修正回退問題。

透過分離內容傳遞與原始管理，實現全球效能且不犧牲隱私。

深入了解這些隱私與安全資源：