Merhaba,
CSF de bu tarz senaryolar kolaydır. Aslında alan adınızı cloudflare a ekleyip sadece oraya ait subnetleri allow edip geri kalanları kısıtlamak da mantıklıdır. Eğer cloudflare kullanılmayacak ise csf de direkt 80, 443 ün clientlar tarafından dinlenmesi isteniyorsa ipv4 ve ipv6 port listesinden 80, 443 hariç diğerlerini kaldırıp, kalan portlara sadece kendiniz erişebilirsiniz.
İyi çalışmalar.