cloudflare 为一些域名分配的 cdn 的 ip 为 x.x.x.1 (如 104.21.32.1 ),.1 结尾的该类 ip 被 GFW 批量屏蔽,但.2 就可以访问(如 http://104.21.32.2/cdn-cgi/trace )。
这些域名即使在境外解析出来的 ip 也是 x.x.x.1 ,但由于没有 GFW 的 ip 阻断能够访问。
群友的小道消息称,被解析为.1 的域名是新号+免费套餐+检测到滥用,且在境外的路由表现也不佳。(该消息真实性存疑)
楼主账号下的部分域名出现了该情况,但 cf 账号并非新号,也并未出现跑代理等滥用情况,被针对的具体条件尚不明确,建议各位检查下自己的域名。
不负责任的瞎猜:可能是 cf 和 gfw 达成默契,把一些页面内容为简中的域名赶到该 ip 段实现批量屏蔽。
这些域名即使在境外解析出来的 ip 也是 x.x.x.1 ,但由于没有 GFW 的 ip 阻断能够访问。
群友的小道消息称,被解析为.1 的域名是新号+免费套餐+检测到滥用,且在境外的路由表现也不佳。(该消息真实性存疑)
楼主账号下的部分域名出现了该情况,但 cf 账号并非新号,也并未出现跑代理等滥用情况,被针对的具体条件尚不明确,建议各位检查下自己的域名。
不负责任的瞎猜:可能是 cf 和 gfw 达成默契,把一些页面内容为简中的域名赶到该 ip 段实现批量屏蔽。
第 1 条附言 · 12 天前
itdog 测过来部分地区电联已经放出该段 IP ,移动仍然不通
81 条回复 • 2025-07-14 15:01:58 +08:00
 |
1
NSAgold OP  2
如果 DNS 查询返回为以下结果说明域名被 cloudflare 重点关照了_
Address: 104.21.16.1 [美国 CloudFlare 节点] Address: 104.21.32.1 [美国 CloudFlare 节点] Address: 104.21.64.1 [美国 CloudFlare 节点] Address: 104.21.96.1 [美国 CloudFlare 节点] Address: 104.21.48.1 [美国 CloudFlare 节点] Address: 104.21.112.1 [美国 CloudFlare 节点] Address: 104.21.80.1 [美国 CloudFlare 节点] (正常网站 dns 查询似乎只会返回 2 个 ipv4 地址,该类网站返回 7 个 ip 地址) |
 |
2
Cert 14 天前 via Android 1
使用 ech 功能。访问正常。
|
 |
3
383394544 14 天前 via iPhone
可能只是 cf 开始整治滥用了
|
 |
4
kk2syc 14 天前
你们没有 IPv6 吗?
|
 |
5
supermama 14 天前
我是全英文页面,也访问不了了。
|
 |
7
cwxiaos 14 天前 via iPhone
我的 5 年号加一些小服务也变成.1 了,也没有跑代理
|
 |
8
wy315700 14 天前 1
去年年底,cf worker 搭代理的教程广泛传播,导致 cf ip 各种被墙。
有付费用户去投诉影响正常使用,于是 cf 干了两件事,一是把滥用的号给封了,一是给免费的分这种 ip 。 |
 |
9
lolicondmw 14 天前
我的网站就是 挂了
|
 |
10
mytsing520 PRO 几乎所有的 free plan 目前都解析到了这几个 IP 上,和是否新账号无关
|
 |
12
since2021 14 天前
我的 AdGuard 就是,联通的网络不通,移动电信还可以
已经换到其他 CDN 了 |
 |
13
tvirus 14 天前
应该是 CF 故意为之
|
 |
14
mercury233 14 天前
|
|
16
wy315700 14 天前
@mercury233 这个很久了 中国网络访问 意思是允许使用中国大陆的节点
|
 |
17
anwhboywj520 14 天前
我的也是出这个问题,挂在华为云的服务器访问不了,折腾半天都不行。后来切到 hk 服务器就正常访问了。
|
 |
18
kirafreedom 14 天前
我是 free plan ,目前没有问题
|
 |
19
SunsetShimmer 14 天前
Free Plan ,只有一个之前有记录的 xyz 有这个情况。
另一个 xyz 临时添加了记录,没有问题。其余域名,包括免费的,临时添加记录,都没有问题。 个人认为是 Cloudflare 的技术调整,毕竟配合极权政府进行审查是一个巨大丑闻。 |
 |
20
z919126592 14 天前
八年老号,期间一直在用,一年的域名,也中了
|
 |
21
Archeb 14 天前
我这边是反过来。原来有几个域名一直是分.1 ,现在竟然从小黑屋出来了
|
 |
22
MacsedProtoss 14 天前 via iPhone
free plan 但是给 R2 绑卡了 平常用量也不大 目前不受影响
|
 |
23
songtianlun PRO 感觉是某天之后新增的域名就解析到 .1 了。
我就是,恰好前两天买了个新域名,无论是代理还是 worker 这个域名都解析到 .1 了,但之前的域名都是正常。全都是免费套餐。考虑买个付费套餐解一下吧。 |
|
24
NSAgold OP @MacsedProtoss 我是一个用了七八年的域名被.1 了 r2 也绑了卡 只能说应该是免费套餐被针对了的锅
|
 |
25
1423 14 天前
倒逼用户迁移走,用 SaaS 和优选 IP
|
 |
26
kenniewwwww 14 天前
FYI 猫站的 tracker 也被屏蔽了😂 ping 了下也是 .1 结尾的
|
 |
27
sakuraame 14 天前
用了好几年的老域名,一切正常。刚好这个月 5 号买了一个新域名,也绑定到同一个账号的 Cloudflare ,解析是返回正常的两个 ipv4 地址。全都是 free plan 。
|
 |
28
siweipancc 14 天前 via iPhone
用了几年的 free 老域名,也被解析到 1 去了 orz
|
 |
29
abchendai00 14 天前
itdog 对 x.x.x.1 系列 ip 进行 mtr 发现:
所有 x.x.x.1 ip 在中国大陆访问时全部都可以顺利经过骨干网并达到国际网络,但是在大概 9-10 跳的时候会停留在 cloudflare 的某个数据中心的 ip ,然后停止响应。 综上情况可以得出结论 cloudflare 屏蔽了中国大陆对这些 ip 的访问 (如图: https://ibb.co/sdfM2Gt4 ) (作为对比,以下是海外节点的 mtr 结果,可以顺利到达目标 ip: https://ibb.co/35zpfZXr ) |
|
30
NSAgold OP @abchendai00 #29 前几年有人用 GFW 假墙攻击的时候,cloudflare 的 ip 被墙也是这个表现,前几跳出去都是通的
|
 |
31
howhyday 14 天前 via iPhone
@abchendai00 既然是这样,能不能拿这些结果去和 cloudflare 对线?
|
|
32
SunsetShimmer 14 天前
@abchendai00 对明确已知被墙的域名做 traceroute 时,应该使用 sudo traceroute -T -p 443 example.com ,因为墙不会影响 ICMP 。实际测试是在国内中断的。
|
 |
33
imyip 14 天前
ipv6 勉强访问着
|
|
34
mytsing520 PRO @howhyday 没用,人家公司策略,并且这方面极其强势
|
 |
35
lambdaq 14 天前
104.21.96.1
104.21.32.1 104.21.64.1 已中招 |
 |
36
Zhuzhuchenyan 14 天前
已经中招,测速国内一片红
今晚回去开个 pro 试试看是否拯救回来 |
 |
37
issakchill 14 天前
有没有处理的方法?
|
 |
38
x86 14 天前
上优选
@issakchill #37 |
 |
39
xwybss 14 天前
free plan ,域名续费,没有观察到这个现象
|
 |
41
gearfox 14 天前
我的解析到 104.21.112.1 了
|
 |
42
shiroyuri 14 天前
v4 都不行,v6 目前还能用
|
 |
43
kujou 14 天前
可以肯定的是,功夫网确实把 cf 大部分*.1 的 ip 都 ban 了。
|
|
44
kujou 14 天前
你的不负责任瞎猜有一定道理,因为我 4 个域名,就一个简中站点分配的是一堆*.1
(均无滥用的 free 套餐老号 |
 |
45
strobber16 13 天前 via Android
还真是。我是老号 free plan 。没页面,搭的自用 api ,也全解析到 x.x.x.1 去了。不过我客户端都有 cf ip 优选,所以没感知
|
 |
46
gregy 13 天前
CF 多年老号 现在有 8 个域名,其中一个开了年付的 PRO 其他 7 个都是 free plan 目前还没有中招。不知道后面会不会被波及
|
 |
47
tf141 13 天前
而且最近 CF 好像也把 digitalocean 的 IP 都屏蔽了,do 的 ip 过不了 cf 的人机验证
|
 |
48
strp 13 天前 4
现在的墙分两种,一种是双向的,到骨干直接死,进出都不行,另一种是单向的,也就是说 SRC 国内所访问的 DST IP 被 GFW 禁止进来,而不是 DST 禁止中国 IP 访问,如果这种情况在 DST 那边发起路由跟踪,那 DST 所看到的则是到大陆核心网被终止,你所看到的则是到 DST 前一跳被终止。CF 属于被单向墙了,这个政策是最近几年才改的,因为之前 GFW 没做单向墙的时候会导致整个中国的 IP 只要经过了 GFW 都能用来做 UDP DNS 放大,现在修复了这个 Bug ,只有国内响应送出去的流量会被篡改,伊朗还没修复,所以现在整个伊朗都是一个巨大的反射器。。。
|
 |
49
jieyitang 13 天前 via iPad 1
不要想了,这是纯属随机的,没有什么滥用条件的判定,如果你不满意这个 IP ,你就删掉域名等两个星期日志显示 purge 了再添加就行了。
//以下均为免费套餐 IP ,付费套餐均为优化路由(仅国际)。 cf 还有欧洲 188.114.96/97.x 的 IP ,在其他地区还是 172.67/104.21 ,对欧洲直连有优化,但是部分域名可能刷不出来,这也是随机的。你可以去看他们的 community ,有个匈牙利刷不出来,导致欧洲绕美的。 cf 加拿大还有 172.64.80.1 这个 IP ,和前面的其他地区 IP 不冲突,也是随机的。 如果你有需求,但是刷不出来这个 IP ,就删掉域名等两个星期。 |
|
50
abchendai00 13 天前 via iPhone
@SunsetShimmer 如果一个 ip 地址被墙,那么任何到达该 ip 地址的连接,无论任何协议/端口都会无法到达。
|
|
51
abchendai00 13 天前 via iPhone
@strp 如何验证?禁止 ping 的网站/ip 使用 traceroute 测试同样会出现 dst 前一跳之后无响应。另外,dst 前一跳本身就在墙外,理论上只要前一跳能够到达 dst ,用户端是可以看见有响应的吧?
|
|
52
abchendai00 13 天前
@strp 唯一的方法是,把 mtr 的结果发给 cloudflare 客服,问他们是否设置了屏蔽中国大陆访问的策略。如果客服否认,那么大概就是你说的情况
|
 |
53
baobao1270 13 天前
我听说有几个说法
1. 账号被标记了 2. Free plan 完全随机分配 3. 流量大了就切 目测是风控,所以都是黑盒。 感觉其实 CF 这个措施其实没什么用。该优选的人还是会去优选,如果你用来跑代理你会选择不优选吗?如果你做产品的话肯定上加钱 Pro 。也就欺负老实人了。 |
 |
54
chen2016 13 天前 via iPhone
难怪我的一个域名墙了,查了下是.1 的 ip
|
 |
55
villivateur PRO @strp 有相关资料讲解你说的技术细节吗?为什么双向墙会变成 DNS 放大器?
|
 |
56
ztstillwater 13 天前
查询了一下,返回的是两个非 .1 结尾的 ipv4 ,正常
|
 |
57
pagxir 13 天前 via Android
@villivateur 因为 GFW ,发一收三,冲一百得 300 。
|
 |
58
xhemj 13 天前
老账号无滥用,前几个月加了一个新的域名后就一直是 .1 的 ip 了,其他域名都正常
|
 |
60
lns103 13 天前 via Android
老帐号,最初的.xyz 被分配了.1 ,另一个后添加的.com 正常(但是 2 个 ipv4 中有一个被墙了😅),我只用 cf tunnel 在没有 ipv6 时临时连家里服务
|
 |
61
songer 13 天前
老号,同一个账号,一个域正常另一个被解析到.1 了,现在我把有问题的 A 域 cname 到正常的 B 域上,然后 B 再指解析到服务器开小黄云,凑合用。
|
|
62
383394544 13 天前
|
|
63
villivateur PRO @383394544 我能理解这个,但是 GFW 并不是一个 DNS 服务器啊
|
|
64
lolicondmw 13 天前
我的已经中招 不知道怎么处理了
|
 |
65
chloerei 13 天前
实测交钱立即解决……
|
|
66
jieyitang 13 天前 6
@Ghonewyn 管理账户 审核日志,慢慢翻。操作是 Purge 用户是你 域是你的域名
Cloudflare Purge 掉域名是精准的一个星期( 604800 秒),所以你只需去卡着点在删除域名之后等一个星期再加就行,再不行就删了再等一个星期。( Cloudflare 原文: https://developers.cloudflare.com/dns/zone-setups/removal/) Cloudflare 的免费 IP 段在大部分地区只有 104.21.0.0/17 ,172.67.128.0/17 ,2606:4700:3030::/44(可能更小/45),你们说的 104.21.16.1/2606:4700:3030::6815:1001 等 IP 都在这段里,和其他的免费 IP 是一个路由,不存在劣化也没有优化,部分 ISP (已知台湾/匈牙利)因为网络费用问题,即使本地有节点,依旧会绕道其他地区。 Cloudflare Pages 的 IP 段为 172.66.44.0/22 ,2606:4700:310c::/48 ,这段 IP 路由比其他免费 IP 段好,几乎可以等价于付费计划 IP 段,所以自古以来有不 proxy Pages 的说法。 现在强推的 Workers ,即使拥有 Pages 的全部功能,但是 IP 和免费 IP 段是一个池,所以路由不怎么样。 在少数地区(如 EU ,CA )会对部分域名响应为地区特供的 IP ( 188.114.96.0/23 ,2a06:98c1:3120::/47 ,172.64.80.1 ,2606:4700:130:436c:6f75:6466:6c61:7265 ),其他的地区还是普通的免费 IP 段,对地区有优化。但是众所周知在某些国家/地区也有 IP 墙,所以之前乌克兰喜闻乐见的墙了 188.114.96.3/188.114.97.3 ,优化变成了连不上。 104.21.16.1/2606:4700:3030::6815:1001 等 IP 对任何用户都有可能分配,不管你是什么账号,真要滥用 Cloudflare 会在 dashboard 直接封你域名/封号了,不会给你机会分你几个垃圾 IP 。 综上,Cloudflare 对部分免费套餐分配这 14 个 IP 可能的原因只有这几个: 1.Cloudflare 对于用户流量的优化,某些数据中心天天炸上天,方便负载均衡,但是好巧不巧有些地区墙 IP ,全部挤在一个 IP 是大忌,于是非常不幸的变成了劣化。 2.Cloudflare 经常使用免费用户测试新功能,这只是某个新功能的一部分,反正不保证 SLA ,使劲造就完事了。 3.Cloudflare 对墙 IP 的一种反击,他们在 blog 中不止一次提到过墙 IP 的坏处,分配同样的几个 IP 非常容易被某些地区墙掉,反正免费计划没有 SLA ,他们会帮 Cloudflare 杠的。 |
|
67
strp 12 天前 2
@villivateur 你要收到 DST 的回应你本地才会显示,如果 DST 禁 ping 那首先回应根本就不存在,这是一个主动行为,如果没有禁 ping 那数据包是在回应你的途中也就是回程被 GFW 吃了,这是一个被动行为。
GFW 是不是一个 DNS 服务器这件事上,按严谨的定义来说,它不是,但是生活中很多事情都这样,我们对于什么是什么的定义也主要看它的行为,比如说核酶 RNA 曾经被认为是纯信息分子,但是后来发现 RNA 也能催化反应,病毒也曾被认为只是毒素,后来也被发现它是带有遗传信息的颗粒实体复制子,它们外表的行为被人一半误解,实际上实现的功能确实被人类猜对了,如果你把 DNS 服务器的简单解析一下,就是 Client ?A www.google.com -> Server www.google.com A = x.x.x.x -> Client ,GFW 的作用就是中间人,在 Server -> Client 这个过程中劫持了这个响应,然后伪造了虚假的 DNS 数据包,以前 GFW 算力不够,在目标回答后再被动劫持经常会漏包,于是改为了主动劫持,结果还没加判断方向,导致外来请求也会被劫持,现在加了判断方向,只有来自内地的流量出去才会被篡改,来自海外的流量如果国内没有响应则不会被篡,这么说来其实伊朗整个国家都是巨大的流量放大器,而且还是双向的,如果海外来的请求会篡改然后回复,境内的请求也会篡改然后回复。 对于拥有 GFW 的国家来说,整个国家既是对于全世界的放大器,全世界也是对于整个国家的放大器。 举几个例子: 1.1.1.1 = Real dns, outside of the country, will reply 6.6.6.6 = Fake dns, outside of the country, random IP in the world, won't reply 伊朗双向: Client IR ?A blocked_domain.com -> GFW (e.g. 1.1.1.1) -> Client IR A = 10.10.34.35 (Real dns, will reply, but hijacked PRE-reply) Client IR ?A blocked_domain.com -> GFW (e.g. 6.6.6.6) -> Client IR A = 10.10.34.35 (Fake dns, won't reply, but still hijacked PRE-reply) Client EU ?A blocked_domain.com -> GFW (e.g. IR DNS) -> Client EU A = 10.10.34.35 (Real dns, will reply, but hijacked PRE-reply) Client EU ?A blocked_domain.com -> GFW (e.g. Random IR IP) -> Client EU A = 10.10.34.35 (Fake dns, won't reply, but still hijacked PRE-reply) 中国单向: Client CN ?A blocked_domain.com -> GFW (e.g. 1.1.1.1) -> Client CN A = 31.13.106.4 (Real dns, will reply, but hijacked PRE-reply) Client CN ?A blocked_domain.com -> GFW (e.g. 6.6.6.6) -> Client CN A = 31.13.106.4 (Fake dns, won't reply, but still hijacked PRE-reply) Client EU ?A blocked_domain.com -> GFW (e.g. CN DNS) -> Client CN A = 31.13.106.4 (Real dns, will reply, but hijacked PRE-reply) Client EU ?A blocked_domain.com -> GFW (e.g. Random CN IP) -> Client CN no reply (Fake dns, won't reply, no hijacked PRE-reply) 无墙,如欧洲: Client EU ?A blocked_domain.com -> Router (e.g. 1.1.1.1) -> Client EU A = 1.1.1.1 (Real dns, will reply, normal reply) Client EU ?A blocked_domain.com -> Router (e.g. 6.6.6.6) -> Client EU A = timed out (Fake dns, won't reply, no reply) Client EU ?A blocked_domain.com -> GFW (e.g. CN DNS) -> Client EU A = 31.13.106.4 (Real dns, will reply, but hijacked PRE-reply) Client EU ?A blocked_domain.com -> GFW (e.g. IR DNS) -> Client EU A = 10.10.34.35 (Real dns, will reply, but hijacked PRE-reply) Client EU ?A blocked_domain.com -> GFW (e.g. Random CN IP) -> Client EU A = timed out (Fake dns, won't reply, no reply) Client EU ?A blocked_domain.com -> GFW (e.g. Random IR IP) -> Client EU A = 10.10.34.35 (Fake dns, won't reply, but still hijacked PRE-reply) |
 |
69
molezznet 12 天前
现在正常,blog 解析到 x.x.x.155
|
 |
70
cst4you 12 天前
上海电信貌似已放出 .1
凌晨都还不通的 |
 |
71
youtiao 12 天前
gfw 好像开始解封了
|
 |
72
frencis107 12 天前
联通和电信似乎都正常了
|
 |
73
gogogo2000 12 天前
域名被分配到了.1 了,不过还可以正常访问。
感觉免费的就很可能会被分配过去,我从来没有用任何域名+cf 做过代理等滥用的情况,也不是新号 |
|
74
gearfox 12 天前
刚刚测试,恢复了
|
 |
75
Ploter 12 天前
刚才测试,虽然还是 .1 结尾的 IP ,但和之前情况差不多了。
|
 |
76
asshell 11 天前 via Android
/t/1137482
30 多天前就开始了 |
 |
78
Laitinlok 10 天前 via Android
*牆
|
|
79
Laitinlok 10 天前 via Android
CF CDN 可以用 2053,2083,2087,2096,8443 端口
|
 |
81
coffeecat 8 天前
不是很准确,cc 收费域名一样被屏蔽了。。。
|
Select Language