Cloudflare DDNS脚本进阶：一个域名如何同时指向你的公网IP和多个内网IP（Windows/Linux双平台指南）

Cloudflare DDNS脚本进阶：一个域名如何同时指向你的公网IP和多个内网IP（Windows/Linux双平台指南）

在复杂的网络环境中，单台服务器往往需要同时处理来自公网和不同内网网段的访问请求。想象一下这样的场景：你的家用NAS设备通过管理端口（192.168.1.100）提供服务，同时数据端口（10.0.0.2）连接着存储阵列，而公网IP则动态变化。传统方案需要为每个IP配置不同子域名，但通过Cloudflare DNS的高级特性，我们可以实现更优雅的解决方案——单域名多IP解析。

1. Cloudflare DNS解析原理深度剖析

Cloudflare的DNS系统支持为同一主机名创建多个A记录，这在技术上称为"DNS轮询"。但与简单的负载均衡不同，我们可以利用这个特性实现更精细化的访问控制：

• 记录ID的唯一性：每个DNS记录都有全局唯一的标识符，即使指向相同主机名
• TTL控制：可设置极短的缓存时间（最低1秒）实现近乎实时的IP切换
• 代理状态独立：每个记录可单独设置Cloudflare代理（橙色云/灰色云）

实际操作中，当客户端查询域名时，Cloudflare会返回所有有效的A记录IP。客户端操作系统通常会尝试连接第一个返回的IP，如果失败则自动尝试后续IP。我们可以利用这个行为特性实现智能路由：

# 示例：同一域名对应三个IP的DNS响应 $ dig example.com +short 203.0.113.45 192.168.1.100 10.0.0.2

2. 多网卡IP获取与处理方案

2.1 Linux平台实现

现代Linux系统通常使用iproute2工具集替代传统的ifconfig。以下脚本片段可获取指定网卡的IPv4地址：

#!/bin/bash # 获取eth0网卡的IP LAN_IP=$(ip -4 addr show eth0 | grep -oP '(?<=inet\s)\d+(\.\d+){3}') # 获取eth1网卡的IP DATA_IP=$(ip -4 addr show eth1 | grep -oP '(?<=inet\s)\d+(\.\d+){3}') # 获取默认路由对应的公网IP WAN_IP=$(curl -s https://checkip.amazonaws.com)

关键点说明：

• -4参数确保只获取IPv4地址
• grep -oP使用Perl正则表达式精确提取IP
• 多网卡场景建议使用MAC地址或PCI位置作为网卡标识

2.2 Windows平台实现

Windows系统可通过WMI接口获取网络信息，以下是PowerShell实现方案：

# 获取指定适配器的IPv4地址 $LAN_IP = Get-NetIPAddress -InterfaceAlias "Ethernet 1" -AddressFamily IPv4 | Select-Object -ExpandProperty IPAddress $WAN_IP = (Invoke-RestMethod -Uri "https://api.ipify.org?format=json").ip

对于需要兼容旧版Windows的场景，可以使用以下批处理技巧：

:: 通过路由表获取指定网卡的IP for /f "tokens=3 delims= " %%i in ( 'route print -4 ^| findstr /r /c:"^ *0\.0\.0\.0.*Ethernet"' ) do set DEFAULT_GW=%%i

3. Cloudflare API调用最佳实践

3.1 记录预检与更新策略

高效的DDNS脚本应该包含记录存在性检查，避免重复创建记录。以下是推荐的API调用流程：

1. 获取区域ID（zone_id）
2. 列出所有A记录并过滤目标主机名
3. 存在则更新，不存在则创建
4. 验证响应状态

# Python示例代码片段 import requests headers = { "X-Auth-Email": "your@email.com", "X-Auth-Key": "your_api_key", "Content-Type": "application/json" } def get_dns_record(zone_id, record_name): url = f"https://api.cloudflare.com/client/v4/zones/{zone_id}/dns_records" params = {"name": record_name, "type": "A"} response = requests.get(url, headers=headers, params=params) return response.json()["result"][0] if response.json()["result"] else None

3.2 错误处理与重试机制

网络不稳定时，脚本应具备自动重试能力。以下表格展示了常见错误及处理建议：

推荐的重试实现方案：

# 带重试的curl调用 MAX_RETRY=3 RETRY_DELAY=2 for i in $(seq 1 $MAX_RETRY); do response=$(curl -sS -X PUT "https://api.cloudflare.com/client/v4/zones/$ZONE_ID/dns_records/$RECORD_ID" \ -H "X-Auth-Email: $EMAIL" \ -H "X-Auth-Key: $API_KEY" \ -H "Content-Type: application/json" \ --data '{"type":"A","name":"'$HOSTNAME'","content":"'$IP'","ttl":1,"proxied":false}') if [[ $(jq -r '.success' <<< "$response") == "true" ]]; then break fi sleep $RETRY_DELAY done

4. 生产环境部署方案

4.1 Linux系统服务化

将脚本注册为systemd服务可确保稳定运行：

# /etc/systemd/system/cloudflare-ddns.service [Unit] Description=Cloudflare DDNS Updater After=network.target [Service] Type=simple User=root ExecStart=/usr/local/bin/cf-ddns.sh Restart=on-failure RestartSec=60 [Install] WantedBy=multi-user.target

关键参数说明：

• Restart=on-failure确保脚本崩溃后自动重启
• RestartSec=60避免频繁重启导致API限制
• 建议配合Watchdog监控脚本健康状态

4.2 Windows计划任务配置

通过任务计划程序实现每分钟检查：

# 创建计划任务 $action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-File C:\scripts\cf-ddns.ps1" $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Minutes 1) Register-ScheduledTask -TaskName "CF-DDNS" -Action $action -Trigger $trigger -User "SYSTEM" -RunLevel Highest

优化技巧：

• 使用SYSTEM账户运行避免权限问题
• 添加-WindowStyle Hidden参数隐藏PowerShell窗口
• 在脚本开头添加互斥锁防止重复运行

5. 安全增强措施

5.1 凭证安全管理

永远不要将API密钥硬编码在脚本中。推荐的安全实践：

• Linux：使用chmod 600保护配置文件
• Windows：利用DPAPI加密凭据

# Windows凭据加密示例 $secure = ConvertTo-SecureString "API_KEY" -AsPlainText -Force $encrypted = ConvertFrom-SecureString $secure Set-Content -Path "C:\secure\cf.key" -Value $encrypted

5.2 API权限最小化原则

在Cloudflare后台创建专用API令牌时，仅授予必要权限：

• 区域资源：DNS → 编辑
• 区域设置：仅限需要操作的域名
• IP过滤：限制为执行脚本的服务器IP

5.3 网络流量监控

建议在防火墙上设置出站规则，仅允许脚本主机访问：

# iptables示例规则 iptables -A OUTPUT -p tcp --dport 443 -d api.cloudflare.com -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -j DROP

对于需要更高安全性的环境，可以考虑使用客户端证书认证或IP白名单等进阶方案。