Apache 2.4 透過 X-Forwarded-For 阻擋特定 location

2018-09-01 Apache

昨天因為某個案件需要緊急將某幾個特定 location path 僅提供給某些網段使用者使用,然後就搞到晚上 9 點多 … 記錄一下使用方式。

一般狀況下 Apache 2.4 要進行這類型的限制,可以參考官方的「Access Control」簡單的利用 require 來處理,像是:

 

  • 白名單開放

 

  • 黑名單限制

 

但是一般狀況下前面會放 Load balance 來處理負載均衡,如果不巧的你用的是 L7 的 Load balance 透過 NAT Mode,就必須用 X-Forwarded-For header 將使用者端的 IP 丟給後端 Server 做判斷,如果用上方的範例你永遠抓到都是 Load balance 的 IP,皆會判斷失誤。

矛盾一下:使用者的任何資訊都是無法被信任的,即使 X-Forwarded-For 等 header 皆是。

 

那怎麼用 X-Forward-For 來抓 Client IP 呢?

 

在 Apache 文件的「mod_authz_core#require」有提到,如果你要取得 Client 的資訊或是任何 header 需要搭配 mod_setenvif 模組使用,舉例:

  • 判斷 User-Agent 如果有 bot 字串就允許

 

  • 判斷 X-Forwarded-For 來源是 10.* 就允許

 

SetEnvIf 這邊通常會用 regular 來表示,至於怎麼寫可以到 regexpal 練習。

 

 

同場加碼:用 Puppet 實現 Apache 2.4 X-Forwarded-For 阻擋 Location

2 comments

  1. gslin 說:

    你應該用 mod_remoteip 解這個問題,不需要用 workaround。

    • shazi7804 說:

      這個是中午提出需求後,當天要解完,沒有想太多其他的方式。

      果然寫出來就可以吊出高手來解題 XDDD …

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

彙整

分類

open all | close all

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱

%d 位部落客按了讚: