折腾了一下cf的零信任，发现了很多好玩的。虽然hostloc的mjj们应该都玩过了，我还是在这里记录一下。

关键字：cloudflare、warp、vpn。

之前写过用cloudflare零信任功能的tunnel功能做内网穿透。然后这几天又看了看文档，发现cf的零信任需要装一个warp的客户端。

和tunnel的原理差不多，都是cf用自己的cdn节点做代理访问。

全局代理配置

客户端直接从https://1.1.1.1/ 这里下载对应平台的软件即可。

需要一个cloudflare账号，最好不要用自己的域名邮箱，用gmail，不然会让验证付款方式。

登陆进去点零信任的按钮。进去后会让你填你的组织名，随便填记住就行。然后填信用卡的地方跳过（这个地方有风控，最好用老账号）。

然后setting-authentication

App Launcher中是配置谁可以访问主页的地方，点击Rule-Add Rule

然后点击warp client 配置客户端 settings/devices/edit

配置谁可以登陆零信任客户端

然后warp客户端中登陆零信任账户

输入你的组织名后会弹一个链接在浏览器

这里要输入和你上面warp client规则匹配的邮箱，输入验证码登陆即可。

验证成功后让你打开warp客户端，此时warp变成了这个样子

直接点链接就可以了。

单端口Proxy模式

settings/devices 这个地方设置单端口监听。

因为是零信任team模式，这个监听策略会下发到客户端。

浏览器这个插件得配socks4

其他配socks5也可以，玄学。

优点不用说，快就是优点，而且cf节点可能会被一些厂商认为是原生IP，懂得都懂。

缺点有一些网站可能会屏蔽cf的cdn节点，比如奈飞。

还有就是这个东西是可以换IP的，有cf的IP池在，不过需要折腾一下咯，关键词：cloudflare warp 解锁。

抛弃官方客户端

warp原理就是wireguard协议

所以用 https://github.com/ViRb3/wgcf 导出wireguard配置用wireGuard客户端链接就行了。

真实IP和地理位置

根据官方文档 https://developers.cloudflare.com/warp-client/known-issues-and-faq/ 说的是，warp不会泄露用户IP地址，实测也确实没有泄露用户地址。

在社区讨论中 https://community.cloudflare.com/t/beware-cloudflare-warp-does-not-always-hide-your-ip/425348/14 提到，泄露IP地址应该是个BUG，在最新版已经修复了。

但是最重要的一点就是，虽然不会泄露真实IP，但是会泄露你的地理位置。这个原意是为了你在北京点外卖不给你定位到美国去，文档翻译回来如图

因为cf会给你路由到离你最近的cf节点上，比如我是北京市的IP，那么访问baidu.com时，baidu虽然不会收到我的真实IP，但是他会收到同为北京市的cf节点的IP，而这个IP是离你最近的CF节点的IP。所以这东西不适合用来日站。

并且节点发送给目标服务器的http请求中，有cf的特征，如图。

全是特征啊….

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。