jkreileder/cf-ips-to-hcloud-fw

cf-ips-to-hcloud-fw

概述

cf-ips-to-hcloud-fw是一款帮助保持Hetzner Cloud防火墙规则与当前Cloudflare IP范围同步的工具。它通过获取Cloudflare IP范围，并使用hcloud API更新Hetzner Cloud防火墙规则。该工具专门针对入站防火墙规则，当规则描述中包含__CLOUDFLARE_IPS_V4__、__CLOUDFLARE_IPS_V6__或__CLOUDFLARE_IPS__时，会用Cloudflare网络替换规则中的网络。

核心功能与特性

• 自动同步IP范围：定期获取最新Cloudflare IP范围（IPv4、IPv6或两者）
• 精准规则匹配：通过规则描述中的特定标记识别需更新的入站规则
• 多版本支持：同时支持IPv4、IPv6及两者组合的IP范围更新
• 多项目管理：支持配置多个Hetzner Cloud项目及对应的防火墙
• 灵活部署方式：可通过Python环境安装或Docker/Kubernetes容器化部署

使用场景

适用于使用Hetzner Cloud且通过Cloudflare代理流量的用户，需确保仅Cloudflare来源的流量可访问服务器。通过自动更新防火墙规则，避免手动维护Cloudflare IP范围的繁琐，确保规则始终保持最新，提升服务安全性。

使用方法

安装与部署

通过Python安装

推荐使用pipx（Python应用隔离环境工具）安装，也可使用pip（需手动创建虚拟环境）。

使用pipx（推荐）

1. 安装工具：

   shell
   pipx install cf-ips-to-hcloud-fw
   

2. 验证安装：

   shell
   cf-ips-to-hcloud-fw -h
   

   成功安装后将显示工具使用帮助信息。

3. 升级工具：

   shell
   pipx upgrade cf-ips-to-hcloud-fw
   

使用pip（需虚拟环境）

1. 创建并激活虚拟环境：

   shell
   python3 -m venv cf-ips-to-hcloud-fw-venv
   source cf-ips-to-hcloud-fw-venv/bin/activate  # Linux/macOS
   

2. 安装工具：

   shell
   pip3 install cf-ips-to-hcloud-fw
   

3. 验证安装：

   shell
   cf-ips-to-hcloud-fw -h
   

Docker与Kubernetes部署

Docker运行

通过挂载配置文件运行容器：

shell
docker run --rm \
  --mount type=bind,source=$(pwd)/config.yaml,target=/usr/src/app/config.yaml,readonly \
  jkreileder/cf-ips-to-hcloud-fw:1.0.11

提示：若使用滚动标签（如1或1.0），可添加--pull=always确保获取最新镜像。

Docker镜像信息：

• 支持架构：linux/amd64、linux/arm64
• 可用标签：
  • 1: 最新1.x.x版本
  • 1.0: 最新1.0.x版本
  • 1.0.11: 特定版本
  • main: 开发版本（可能包含不稳定变更，慎用）
• 镜像仓库：https://hub.docker.com/r/jkreileder/cf-ips-to-hcloud-fw%E3%80%81Quay.io%E3%80%81https://github.com/jkreileder/cf-ips-to-hcloud-fw/pkgs/container/cf-ips-to-hcloud-fw

Kubernetes部署

1. 创建配置文件Secret：

   yaml
   apiVersion: v1
   kind: Secret
   metadata:
     name: cf-ips-to-hcloud-fw-config
   type: Opaque
   stringData:
     config.yaml: |
       - token: API_TOKEN_FOR_PROJECT_1
         firewalls:
           - firewall-1
           - firewall-2
       - token: API_TOKEN_FOR_PROJECT_2
         firewalls:
           - default
   

2. 创建定时任务CronJob（每小时运行）：

   yaml
   apiVersion: batch/v1
   kind: CronJob
   metadata:
     name: cf-ips-to-hcloud-fw
   spec:
     schedule: "0 * * * *"
     jobTemplate:
       spec:
         template:
           spec:
             securityContext:
               runAsNonRoot: true
               runAsUser: 65534
             containers:
               - name: cf-ips-to-hcloud-fw
                 image: jkreileder/cf-ips-to-hcloud-fw:1.0.11
                 securityContext:
                   allowPrivilegeEscalation: false
                   readOnlyRootFilesystem: true
                   capabilities:
                     drop:
                       - ALL
                 volumeMounts:
                   - name: config-volume
                     mountPath: /usr/src/app/config.yaml
                     subPath: config.yaml
             volumes:
               - name: config-volume
                 secret:
                   secretName: cf-ips-to-hcloud-fw-config
             restartPolicy: OnFailure
   

配置说明

准备Hetzner Cloud防火墙

1. 设置规则描述标记：在需更新的入站规则描述中添加以下标记，工具将根据标记替换网络：

   规则描述中的文本	对应的Cloudflare IP范围
   __CLOUDFLARE_IPS_V4__	仅IPv4
   __CLOUDFLARE_IPS_V6__	仅IPv6
   __CLOUDFLARE_IPS__	IPv4 + IPv6

   注意：规则描述中同时包含__CLOUDFLARE_IPS_V4__和__CLOUDFLARE_IPS_V6__等效于__CLOUDFLARE_IPS__。

2. 生成API令牌：在Hetzner Cloud控制台中，进入“安全” > “API令牌” > “生成API令牌”，需为每个项目创建具有读写权限的令牌。

配置文件格式

创建config.yaml文件，指定各项目的API令牌及需更新的防火墙名称：

yaml
- token: API_TOKEN_FOR_PROJECT_1  # 项目1的API令牌（需读写权限）
  firewalls:
    - firewall-1  # 需更新的防火墙名称1
    - firewall-2  # 需更新的防火墙名称2
- token: API_TOKEN_FOR_PROJECT_2  # 项目2的API令牌（需读写权限）
  firewalls:
    - default  # 需更新的防火墙名称（默认防火墙）