不对外服务的可以加个 basic auth

你已经用了 cdn 还用 iptables ？

有 CF WAF 也够了

@benjaminliangcom 只能防域名爬虫，但防不了对 vps ip 直连的请求。

过 2 周，我就把 WAF 开源了，相信能解决你的问题👍

1 楼的回复基本就是标准答案了，op 自动无视是有什么顾虑么

既然用了 cf ，可以不要给 nginx 开 80/443 给公网了。用 cf tunnel 吧。

加一层 waf ，雷池, samwaf 之类的

梳理日志，用 ipset 过滤 ip 地址

@studyingss 我找到方案了。用 1 楼给的 CF ip 列表(set_real_ip_from+X-Forwarded-For)，然后搭配 fail2ban 规则(4 楼)。