关于Nginx-Cloudflare应用的细节和注意点

[despire1119]

经过几天的折腾，成功配置了域名和https证书，可以实现不输入端口访问NAS，浏览器也不再报连接不安全了，泪流满面。
感谢MikeWang000000大佬及时的回复和不厌其烦的解答，没有打我谢谢您。以下是自己在配置过程中遇到的一些问题以及处理办法，供和我一样的小白用户查阅：

示例中参数补充说明

1. cf_redirect_host: 一个二级域名，你希望最终在浏览器输入的，不带端口号的域名。
2. cf_direct_host: 一个二级域名，你实际访问Natter为你打开的公网服务。
3. 实际跳转过程：浏览器输入cf_redirect_host，由cf_redirect_host跳转至cf_direct_host:端口号，打开你的服务。

启用iptables

linux下启用内核转发需要添加cap-add相关参数配置，只添加-m iptables的话会抛出iptables无法使用的错误。

docker命令添加相关参数请参阅natter-docker/readme.md,'使用 iptables 内核转发（需要额外权限），对外开放本机 80 端口：'

yml添加相关参数请参阅natter-docker/transmission/docker-compose.yml

Cloudflare灵异问题不完全汇总

1. 边缘证书长时间卡在待验证：边缘证书没有验证通过会使得你的direct_url被本地浏览器拒绝（提示：使用了不受支持的协议），从而无法进行302跳转。
   可能引发这个问题的原因很多，解决方案推荐：
   关闭所有HTTPS相关策略开关，SSL/TSL策略改为灵活，删除你的Cloudflare域名然后重新添加，重新添加后请耐心等待，不要在Cloudflare内执行任何操作，诸如重写HTTPS、开启HTLS等，直到边缘证书验证显示为有效。
2. 添加自有CA证书注意事项：对于像我一样有点强迫症的选手来说，为你的服务端口添加国内CA证书可以让你的域名不再显示红色感叹号和不安全提示。但添加证书时如果进行了DNSSEC或TXT DNS配置,请一定记得回到你域名归属控制台（如阿里云），更新你的DNSSEC配置。否则，你Cloudflare的边缘证书可能失效，并且无法验证，从而出现'1'当中的情况。
3. cf-redir.py抛出各种TIMEOUT: 如果你所在的是移动家用宽带网络环境，这有可能发生。它与脚本程序本身无关，一般是由于脚本通过cloudflare api直接操作我们的DNS的时候请求失败了，原因嘛不讲了。好消息是qiang了但没完全qiang，多运行几次，换个时间运行一下，或者...烧个香再运行一下？会成功的。

再次感谢MikeWang000000大佬开源了这么轻量好用可扩展的小工具，我去玩V2ray用例了，总结经验时再见。

[Todd-Zhangt]

请教一下最新docker版本的这个natter系列服务，重新拨号之后不自动重新打洞会是什么情况呢？