jkreileder/cf-ips-to-hcloud-fw Docker Image Overview

jkreileder/cf-ips-to-hcloud-fw

jkreileder

使用当前Cloudflare IP范围自动更新Hetzner Cloud防火墙规则的工具，通过识别规则描述中的特定标记（如__CLOUDFLARE_IPS_V4__等）替换网络，支持IPv4、IPv6或两者同时更新。

下载次数: 0状态：社区镜像维护者：jkreileder仓库类型：镜像最近更新：14 天前

轩辕镜像，快一点，稳很多。点击查看

中文简介版本下载

轩辕镜像，快一点，稳很多。点击查看

cf-ips-to-hcloud-fw

概述

cf-ips-to-hcloud-fw是一款帮助保持Hetzner Cloud防火墙规则与当前Cloudflare IP范围同步的工具。它通过获取Cloudflare IP范围，并使用hcloud API更新Hetzner Cloud防火墙规则。该工具专门针对入站防火墙规则，当规则描述中包含__CLOUDFLARE_IPS_V4__、__CLOUDFLARE_IPS_V6__或__CLOUDFLARE_IPS__时，会用Cloudflare网络替换规则中的网络。

核心功能与特性

自动同步IP范围：定期获取最新Cloudflare IP范围（IPv4、IPv6或两者）
精准规则匹配：通过规则描述中的特定标记识别需更新的入站规则
多版本支持：同时支持IPv4、IPv6及两者组合的IP范围更新
多项目管理：支持配置多个Hetzner Cloud项目及对应的防火墙
灵活部署方式：可通过Python环境安装或Docker/Kubernetes容器化部署

使用场景

适用于使用Hetzner Cloud且通过Cloudflare代理流量的用户，需确保仅Cloudflare来源的流量可访问服务器。通过自动更新防火墙规则，避免手动维护Cloudflare IP范围的繁琐，确保规则始终保持最新，提升服务安全性。

使用方法

安装与部署

通过Python安装

推荐使用pipx（Python应用隔离环境工具）安装，也可使用pip（需手动创建虚拟环境）。

使用pipx（推荐）

安装工具：

shell
pipx install cf-ips-to-hcloud-fw

验证安装：

shell
cf-ips-to-hcloud-fw -h

成功安装后将显示工具使用帮助信息。

升级工具：

shell
pipx upgrade cf-ips-to-hcloud-fw

使用pip（需虚拟环境）

创建并激活虚拟环境：

shell
python3 -m venv cf-ips-to-hcloud-fw-venv
source cf-ips-to-hcloud-fw-venv/bin/activate  # Linux/macOS

安装工具：

shell
pip3 install cf-ips-to-hcloud-fw

验证安装：

shell
cf-ips-to-hcloud-fw -h

Docker与Kubernetes部署

Docker运行

通过挂载配置文件运行容器：

shell
docker run --rm \
  --mount type=bind,source=$(pwd)/config.yaml,target=/usr/src/app/config.yaml,readonly \
  jkreileder/cf-ips-to-hcloud-fw:1.0.11

提示：若使用滚动标签（如1或1.0），可添加--pull=always确保获取最新镜像。

Docker镜像信息：

支持架构：linux/amd64、linux/arm64
可用标签：
- 1: 最新1.x.x版本
- 1.0: 最新1.0.x版本
- 1.0.11: 特定版本
- main: 开发版本（可能包含不稳定变更，慎用）
镜像仓库：Docker Hub、Quay.io、GitHub Packages

Kubernetes部署

创建配置文件Secret：

yaml
apiVersion: v1
kind: Secret
metadata:
  name: cf-ips-to-hcloud-fw-config
type: Opaque
stringData:
  config.yaml: |
    - token: API_TOKEN_FOR_PROJECT_1
      firewalls:
        - firewall-1
        - firewall-2
    - token: API_TOKEN_FOR_PROJECT_2
      firewalls:
        - default

创建定时任务CronJob（每小时运行）：

yaml
apiVersion: batch/v1
kind: CronJob
metadata:
  name: cf-ips-to-hcloud-fw
spec:
  schedule: "0 * * * *"
  jobTemplate:
    spec:
      template:
        spec:
          securityContext:
            runAsNonRoot: true
            runAsUser: 65534
          containers:
            - name: cf-ips-to-hcloud-fw
              image: jkreileder/cf-ips-to-hcloud-fw:1.0.11
              securityContext:
                allowPrivilegeEscalation: false
                readOnlyRootFilesystem: true
                capabilities:
                  drop:
                    - ALL
              volumeMounts:
                - name: config-volume
                  mountPath: /usr/src/app/config.yaml
                  subPath: config.yaml
          volumes:
            - name: config-volume
              secret:
                secretName: cf-ips-to-hcloud-fw-config
          restartPolicy: OnFailure

配置说明

准备Hetzner Cloud防火墙

设置规则描述标记：在需更新的入站规则描述中添加以下标记，工具将根据标记替换网络：

规则描述中的文本对应的Cloudflare IP范围
__CLOUDFLARE_IPS_V4__ 仅IPv4
__CLOUDFLARE_IPS_V6__ 仅IPv6
__CLOUDFLARE_IPS__ IPv4 + IPv6

注意：规则描述中同时包含__CLOUDFLARE_IPS_V4__和__CLOUDFLARE_IPS_V6__等效于__CLOUDFLARE_IPS__。
生成API令牌：在Hetzner Cloud控制台中，进入“安全” > “API令牌” > “生成API令牌”，需为每个项目创建具有读写权限的令牌。

规则描述中的文本	对应的Cloudflare IP范围
`__CLOUDFLARE_IPS_V4__`	仅IPv4
`__CLOUDFLARE_IPS_V6__`	仅IPv6
`__CLOUDFLARE_IPS__`	IPv4 + IPv6

配置文件格式

创建config.yaml文件，指定各项目的API令牌及需更新的防火墙名称：

yaml
- token: API_TOKEN_FOR_PROJECT_1  # 项目1的API令牌（需读写权限）
  firewalls:
    - firewall-1  # 需更新的防火墙名称1
    - firewall-2  # 需更新的防火墙名称2
- token: API_TOKEN_FOR_PROJECT_2  # 项目2的API令牌（需读写权限）
  firewalls:
    - default  # 需更新的防火墙名称（默认防火墙）

查看更多 cf-ips-to-hcloud-fw 相关镜像 →