如何防止源站 IP 不被泄露

• 不要在未套 cdn 的情况下直接 DNS 解析到源站（如果解析了，但时间不长，此时可能还没被扫留下记录）

• Nginx 配置时在 host 不匹配时拒绝握手

  如以下配置：

  server {
      listen 443 ssl default_server;
      ssl_reject_handshake on;       
  }

  当没有匹配到 server 时，拒绝 ssl 握手。

• 防火墙设置，或者尽量将服务只监听 127.0.0.1

• 注意 docker 的映射规则高于 ufw，所以注意映射端口时尽量使用 127.0.0.1，比如映射 $10808$ 端口：127.0.0.1:10808:10808。你可以修改 /etc/docker/daemon.json 来改变默认是 0.0.0.0 映射的规则：

  {
      "ip":"127.0.0.1"
  }