En mi caso tengo tres casos:
- webs de clientes.
- webs mias.
- tuneles para interconectar lans/servidores/etc.
En el caso 1 he explicado a los propietarios los casos, uno me ha pedido quitar el proxy DNS de cloudflare y dejar la web expuesta a lo salvaje (añadiendo algunas precauciones a nivel de HAproxy), en otro usabamos solo el CDN así que hemos cambiado a otro proveedor, y otros dos clientes han dicho que se la pela, que se quede así, porque son webs/admins que solo usan ellos y/o les da igual o no están afectados por tener conexiones de operadoras locales/pequeñas que no bloquean.
En el caso 2 lo he quitado, ya que son cosas sin apenas tráfico que lo tenía puesto "pa hacerme el chulo". Vamos, que no era necesario, estaba puesto porque podía y era "gratis", no porque lo necesitase. En algunos casos he añadido igualmente protecciones a nivel de HAproxy (es lo que suelo tener en frente de nginx o el servicio que esté expuesto a internet), simplemente límite de conexiones por cliente/IP, rate limit, etc.
En el caso 3… ya llevaba tiempo queriendo cambiarlo, de hecho ya lo tenía así para algunas cosas, y es simplemente usar WireGuard, los equipos que tienen que verse se conectan al mismo servidor de WireGuard y ahí hago la magia. De hecho donde lo tenía así funcionando me gustaba más que donde lo tenía con los tuneles de cloudflare.
Digamos que me he des-cloudflarizado, porque llevaba tiempo en ello y a día de hoy lo único que me era útil era el proxy DNS y los registros de tipo ALIAS (que pocos proveedores tienen), que realmente es útil, pero el resto de servicios ni fu ni fa. De hecho Cloudflare no es infalible, el DNS 1.1.1.1 falla de tanto en cuanto, los tuneles se caen y tardan en "reconectar", y me tenían más mosca que tranquilo. Así que ha sido la excusa perfecta para dejar de usarlo.