cloudflare: Pseudo IPv4 (Class E 240/4) 정리 — Netbis 관찰 기반

- infra/security/cloudflare.md: Pseudo IPv4 섹션 신규 (동작 원리·모드·함의·오해 주의)
- services/netbis.md: client_ip 의미에서 부정확한 '254.x 범위' → '240.0.0.0/4' 정정, CF docs 링크
- history: 2026-04-24 CF Pseudo IPv4 정체 규명 (CGNAT 오진 교훈 포함)

infra/security/cloudflare.md

@@ -27,6 +27,46 @@ Syn 이 엣지 관점에서 소유. 일반 DNS 관리 협업은 Heimdall.
 
 ⚠️ **Rate Limit, WAF 규칙, Firewall 설정은 API로 조회/변경 불가 — 대시보드에서만 관리 가능**. 토큰 스코프 확장이 필요하면 CF 대시보드 > My Profile > API Tokens에서 편집.
 
+## Pseudo IPv4 (Class E 240/4)
+
+레거시 IPv4-only 백엔드를 위한 CF 기능. **Netbis zone에서 활성 상태로 관찰됨** (Apache 2.4.38 + PHP 5.6.40). Kappa 계정 zone에는 현재 기본 Off로 추정.
+
+### 동작 원리
+
+```
+클라이언트 (IPv6) → CF 엣지
+  → IPv6 주소 상위 64비트를 MD5 해시
+  → 결과를 240.0.0.0/4 (240~255.x.x.x) 범위의 IPv4로 매핑
+  → CF-Connecting-IP 및 X-Forwarded-For 헤더를 해시된 IPv4로 overwrite
+  → 진짜 IPv6는 Cf-Connecting-IPv6 별도 헤더로 전달
+```
+
+### 모드 3종 (CF 대시보드 Network → Pseudo IPv4)
+
+| 모드 | CF-Connecting-IP | 별도 헤더 |
+|------|-----------------|----------|
+| Off | 실 IPv6/IPv4 | - |
+| Add header | 실 IP 그대로 | `Cf-Pseudo-IPv4`에 해시 |
+| **Overwrite headers** | 해시(240/4) | `Cf-Connecting-IPv6`에 실 IPv6 |
+
+### 관찰 시그널 (Netbis)
+
+- VL `client_ip` 필드 중 240.0.0.0/4 대역 IP 등장 = IPv6 접속자
+- UA 분포: 95%+ 모바일 (Android Chrome / iPhone Safari / KakaoTalk / Daum / NAVER) — KR 모바일 IPv6 보급률 높음
+- 동일 IPv6 `/64` prefix → 항상 같은 240/4 IP로 매핑 (재현 가능한 식별자)
+- **한 240/4 IP = 한 가정/ /64 단위 유저 집합** — ban 시 /64 전체가 차단됨
+
+### 오해 주의
+
+- 240/4는 KR 통신사 CGNAT 아님 (공식 문서 없음, 공개 라우팅도 안 됨)
+- 실제로는 CF Pseudo IPv4 해시값 — "가짜 IP"
+- CGNAT 오인하면 차단 효과 완전히 다르게 판단됨
+
+### 관련 링크
+
+- [CF Pseudo IPv4 docs](https://developers.cloudflare.com/network/pseudo-ipv4/)
+- [CF Support: Pseudo IPv4 overview](https://support.cloudflare.com/hc/en-us/articles/229666767)
+
 ## Zone
 
 | Zone | Zone ID | Status | Plan | NS | DNS rec | 비고 |