域名

在国外域名注册商购买的域名需转移至国内注册商方可备案（但价格可能更高），未备案的域名解析到国内正规服务器时，访问会被拦截。二级域名无法备案。

CF托管域名：添加域名并等待验证，根据提示在注册商平台修改名称服务器（DNS），在DNS中添加记录，如@根、*、子域名前缀等（后续设置DDNS时无需手动添加记录，DDNS配置后将自动同步）。

福建地区网络特殊，需通过代理访问域名。其他地区网络可直接访问次级域名地址或域名端口。通过itdog网站进行ping和http测试均正常，仅DNS也能解析出实际IPv地址。

CF隧道

CF Tunnel内网穿透：

在Cloudflare Zero Trust网络中创建Cloudflare隧道，1p面板应用下载Cloudflare并填入CF提供的token后启动，等待握手（或直接通过容器部署，注意添加--net host参数）。在CF上配置隧道，公共主机名填写自定义域名，如http:localhost:端口。

提示：相比小黄云CDN，隧道无端口限制，稳定性较好，但不经CDN全球分发，速度可能较慢。若使用IPv4服务器且不担心暴露IP地址，可不开启小黄云，仅通过DNS解析。若使用IPv6服务器，需具备IPv6本地环境才能访问。

设置DDNS解析

CF区域TOKEN：

在CF个人资料中创建API令牌，添加区域DNS，获取Token。在Lucky动态解析中选择CF并填入Token，勾选IPv6和IPv4，添加两条记录分别为域名和*.域名，等待同步到CF。

之后即可通过域名:端口访问。若在CF上的DNS记录开启小黄云（套CDN），则IPv4网络环境也能通过CF代理访问纯IPv6服务器，但端口仅限于CF允许的几个，且速度可能较慢。若未开启小黄云，则只能在IPv6环境（如手机流量）下访问纯IPv6服务器。

SSL/TLS安全证书

Lucky申请：

添加证书，选择ACME方式，机构选择Let's Encrypt，验证方式为CF区域token，分别填写域名和*.域名，等待申请完成。

若配置了Web反向代理，SSL/TLS中的域名需与反代前端匹配。

若无Lucky，可在1p面板中操作：在CF平台选择SSL/TLS，源服务器创建证书，开启“经过身份验证的源服务器拉取”，复制并上传证书密钥到1p面板相关位置。

Web反向代理与隐藏端口

Lucky：

DDNS记录需包含*.域名以通配所有次级域名，并同步到CF。

反向代理：添加Web服务规则，监听端口选择CF允许的几个（如2096），默认规则关闭连接。逐条配置子规则反向代理，前端填写具体次级域名（如xxx.域名），后端填写本地IP:服务端口。

之后可通过xxx.域名:2096访问。

隐藏端口：在CF规则中添加回源规则（Origin Rules），主机名填写通配符*.域名，目标端口重写为2096。

之后即可通过xxx.域名访问，无需端口。

若DNS未开启小黄云，仅通过DNS解析，反向代理监听端口可随意选择，不限于CF允许的端口。IPv4环境不通过CF代理访问IPv4服务器速度更快，但IPv4环境无法访问IPv6服务器，且CF回源规则无效。

若配置了SSL/TLS安全证书，Web服务规则需勾选TLS，同时在CF平台上将SSL/TLS加密改为“完全严格”（若未加密即HTTP，选择“灵活”，但浏览器会提示不安全）。

思考：

若不使用反代，且通过无端口的域名地址访问，小黄云代理流量。在DNS中添加记录，如具体服务.域名，在CF规则中，回源规则主机名填写具体服务.域名，重写到具体服务的服务器端口。规则生效需开启小黄云。

若不使用反代，且通过无端口的域名地址访问，不使用小黄云代理。可在DNS中添加SRV记录，如具体服务.域名，端口为服务端口，目标为主域名。即该具体服务次级域名地址会解析到主域名:服务端口。SRV记录本身无法使用小黄云代理。

cf域名邮箱

生成cf域名邮箱转发到临时接码邮箱地址

cf电子邮件路由，路由规则，Catch-all 地址 操作:发送电子邮件 目标:临时接码邮箱，一次性临时电子邮件 - TempMail.Plus可以创建临时接码邮箱，接码邮箱收cf验证后点击，cf电子邮件-设置-域路由状态启用

注册机项目那边配置 域名和临时接码邮箱，注册机实现自动生成cf域名邮箱用于注册平台并且将平台的注册验证码邮件转发到 临时接码邮箱，注册机获取验证码实现自动注册。