V3.7.1 版本开始的

TestFlight

The information collected by Apple and shared with the Application Provider when you use TestFlight includes the data fields listed below.

If you accept an invitation to test a beta app through a public link only, your email address and name are not visible to the Application Provider. Apple ay use the IP address of your internet connection to approximate your location in order to determine whether certain beta apps that are subject to legal restrictions in some regions can be made available to you.

最新版 TestFlight 加入区域检测了

一般这种会写 IP Routing Table ，来决定系统网络去向。你运行下 netstat -rn 看下不同的 tun interface 接口写了那些 CIDR 。系统是看哪一条 CIDR 范围最小哪一条有优先级。实在不行我觉得你可以写入哪些哪些 IP 用哪个 tun （启动两个 tun 然后看看接口的名称，然后自己添加到 routing table 里

最新的 cf ip
https://www.cloudflare.com/ips/

CloudFlare tunnel 然后拒绝任何 http ，https 端口访问，tunnel 直接和 CF 链接

或者，用 ufw ，允许 ssh ，只允许 CF ip 段的 http 和 https

sudo ufw allow ssh

# Allow HTTP (port 80) for Cloudflare IPv4 ranges
sudo ufw allow from 173.245.48.0/20 to any port 80
sudo ufw allow from 103.21.244.0/22 to any port 80
sudo ufw allow from 103.22.200.0/22 to any port 80
sudo ufw allow from 103.31.4.0/22 to any port 80
sudo ufw allow from 141.101.64.0/18 to any port 80
sudo ufw allow from 108.162.192.0/18 to any port 80
sudo ufw allow from 190.93.240.0/20 to any port 80
sudo ufw allow from 188.114.96.0/20 to any port 80
sudo ufw allow from 197.234.240.0/22 to any port 80
sudo ufw allow from 198.41.128.0/17 to any port 80
sudo ufw allow from 162.158.0.0/15 to any port 80
sudo ufw allow from 104.16.0.0/12 to any port 80
sudo ufw allow from 172.64.0.0/13 to any port 80
sudo ufw allow from 131.0.72.0/22 to any port 80

# Allow HTTPS (port 443) for Cloudflare IPv4 ranges
sudo ufw allow from 173.245.48.0/20 to any port 443
sudo ufw allow from 103.21.244.0/22 to any port 443
sudo ufw allow from 103.22.200.0/22 to any port 443
sudo ufw allow from 103.31.4.0/22 to any port 443
sudo ufw allow from 141.101.64.0/18 to any port 443
sudo ufw allow from 108.162.192.0/18 to any port 443
sudo ufw allow from 190.93.240.0/20 to any port 443
sudo ufw allow from 188.114.96.0/20 to any port 443
sudo ufw allow from 197.234.240.0/22 to any port 443
sudo ufw allow from 198.41.128.0/17 to any port 443
sudo ufw allow from 162.158.0.0/15 to any port 443
sudo ufw allow from 104.16.0.0/12 to any port 443
sudo ufw allow from 172.64.0.0/13 to any port 443
sudo ufw allow from 131.0.72.0/22 to any port 443

# Allow HTTP (port 80) for Cloudflare IPv6 ranges
sudo ufw allow from 2400:cb00::/32 to any port 80
sudo ufw allow from 2606:4700::/32 to any port 80
sudo ufw allow from 2803:f800::/32 to any port 80
sudo ufw allow from 2405:b500::/32 to any port 80
sudo ufw allow from 2405:8100::/32 to any port 80
sudo ufw allow from 2a06:98c0::/29 to any port 80
sudo ufw allow from 2c0f:f248::/32 to any port 80

# Allow HTTPS (port 443) for Cloudflare IPv6 ranges
sudo ufw allow from 2400:cb00::/32 to any port 443
sudo ufw allow from 2606:4700::/32 to any port 443
sudo ufw allow from 2803:f800::/32 to any port 443
sudo ufw allow from 2405:b500::/32 to any port 443
sudo ufw allow from 2405:8100::/32 to any port 443
sudo ufw allow from 2a06:98c0::/29 to any port 443
sudo ufw allow from 2c0f:f248::/32 to any port 443

sudo ufw deny 80
sudo ufw deny 443

sudo ufw enable

或者 iptables

或者，用你云服务商的防火墙设置，允许 cf 的 ip 段

好像是 bug ，只能等更新

https://v2ex.com/t/1091806

一点细节

风控是基于验证等等的 Risk Matrix
https://developer.apple.com/documentation/devicecheck/assessing-fraud-risk

Specifically, you can get an approximate count of unique attestations for your app on a particular device.

可以获得在一台设备上的验证或注册次数

如果主力机已经是 iPhone ，但是账号区域有问题，可以 Apple Store 买个新的 iPhone SE 等注册。

应该是 Mac 失败后，联系客服解释理由，客服会消除掉现有设备 DeviceCheck API 生成的 ID ，然后指导你去手机操作。更换设备，设备 ID 不一致是系统自动 ban ，客服确实没有选项恢复。注册成功后会设置 DeviceCheck 的 2 个 binary 中的一个，标记设备已经用于 developer 注册，所以必须新设备。

邮箱端口一般 587 ，465 ，还有 25 。这个 SSL 报错说明走的 STARTTLS 协议可以设置下 587 和 465 端口不走公司网络

估计是 MITM 公司用自己的证书解密邮件分析内容。邮箱的话 SMTP 端口 587 ，可以看看日志是否请求被增强模式处理。

我刚看了下我这里是有的。实在不行你也可以试试那个新的用代码写配置的功能，在 Rules/Snippets 里面、可以用 JS 代码写响应 Response ，估计代码不难或者扔给机器人可以很快写出来。再不行估计只能问问你的 representative 了。

点进去一条特定的 WAF 规则就可以看到设置 HTML 、JSON 、XML 等响应内容和 http 状态代码的地方。

Security / WAF / Custom Roles 自定义规则是可以设置拦截行为 Block Action 为自定义的，而且可以设置 Statu Code 响应代码，条件可以是比如 cf.client.bot 或者按照 http.user_agent 来阻止机器人。

另外，在打开网站后，左侧 Custom Pages 菜单也可以自定义有系统规则拦截的界面。dash.cloudflare.com/{account-id}/{host}/custom-pages

一般应该是用的 BGAppRefresh 或者 Processing.

https://developer.apple.com/documentation/backgroundtasks/bgtaskscheduler

系统 daemon 会唤醒 app ，app 设置最早唤醒时间，最多半小时一次，但是实际情况一般如果 app 每半小时都想刷新一次的话，最多一天刷新 6 次左右，主要是晚上充电的时候。

如果你不大打开这个 app ，一般一天都运行不了一次。

系统有一个积分系统，决定多久唤醒 app 。和你打开 app 的频率很大关系。另外，小 trick 是如果你把 app 加到小组件 widget 会提高这个积分。

LE 证书的话，也可以直接用 DNS 验证模式，直接添加一条 TXT 记录就可以申请。然后，这样申请后，你再正常运行一遍 LE ，他会提示帮你自动安装证书（当然你也可以自己修改配置） sudo certbot certonly --manual --preferred-challenges dns --debug-challenges -d \*.your-domain -d your-domain

@pikelo Mac 里这些设置也有应该是

https://support.apple.com/zh-cn/guide/findmy-mac/fmm9ba4ceb0d/mac

https://support.apple.com/zh-cn/guide/messages/icht08e15ab7/mac

不过需要最新系统。实在不行估计只能去 Apple Store 问问啦