Cloudflare 防火墙 ip 规则未 100% 列入白名单
Cloudflare Firewall ip rule not 100% whitelisted
我有以下规则 (ip.src in {91.209.196.32/28 199.66.200.32/28 178.255.82.64/27 64.39.96.0/20}) 并且操作是 allow 目前我收到很多来自 64.39.111.243 的请求并且关于这部分规则的一切都应该通过64.39.96.0/20.
但不时地,完全相同的 ip 64.39.111.243 被 Browser integrity check 或 Validation 服务阻止,似乎我的防火墙规则没有被考虑在内,但很少请求,约 0.1%
在 Cloudflare 中,防火墙规则中的 Allow 操作不会排除请求被其他安全机制评估。这已记录在案 here(引用如下)
Matching requests are exempt from challenge and block actions triggered by other Firewall Rules content.
The scope of the Allow action is limited to Firewall Rules; matching requests are not exempt from action by other Cloudflare Firewall products, such as IP Access Rules, WAF, etc.
Matched requests will be mitigated if they are part of a DDoS attack.
对于您的情况,您可能还想添加一个 Bypass 规则来关闭特定的安全功能(也记录在上面的 link 中)。当然,在添加此类例外时,务必注意用于评估规则的表达式。
我有以下规则 (ip.src in {91.209.196.32/28 199.66.200.32/28 178.255.82.64/27 64.39.96.0/20}) 并且操作是 allow 目前我收到很多来自 64.39.111.243 的请求并且关于这部分规则的一切都应该通过64.39.96.0/20.
但不时地,完全相同的 ip 64.39.111.243 被 Browser integrity check 或 Validation 服务阻止,似乎我的防火墙规则没有被考虑在内,但很少请求,约 0.1%
在 Cloudflare 中,防火墙规则中的 Allow 操作不会排除请求被其他安全机制评估。这已记录在案 here(引用如下)
Matching requests are exempt from challenge and block actions triggered by other Firewall Rules content. The scope of the Allow action is limited to Firewall Rules; matching requests are not exempt from action by other Cloudflare Firewall products, such as IP Access Rules, WAF, etc. Matched requests will be mitigated if they are part of a DDoS attack.
对于您的情况,您可能还想添加一个 Bypass 规则来关闭特定的安全功能(也记录在上面的 link 中)。当然,在添加此类例外时,务必注意用于评估规则的表达式。