Apache 2.4 透過 X-Forwarded-For 阻擋特定 location

2018-09-01 Apache

昨天因為某個案件需要緊急將某幾個特定 location path 僅提供給某些網段使用者使用,然後就搞到晚上 9 點多 … 記錄一下使用方式。

一般狀況下 Apache 2.4 要進行這類型的限制,可以參考官方的「Access Control」簡單的利用 require 來處理,像是:

 

  • 白名單開放
<VirturlHost *:80>
...
  <Location "/blackuri">
    Require ip 10.0.0.0/8
  </Location>
...
</VirturlHost>

 

  • 黑名單限制
<VirturlHost *:80>
...
  <Location "/blackuri">
    Require all granted
    Require not ip 111.111.111.0/24
  </Location>
...
</VirturlHost>

 

但是一般狀況下前面會放 Load balance 來處理負載均衡,如果不巧的你用的是 L7 的 Load balance 透過 NAT Mode,就必須用 X-Forwarded-For header 將使用者端的 IP 丟給後端 Server 做判斷,如果用上方的範例你永遠抓到都是 Load balance 的 IP,皆會判斷失誤。

矛盾一下:使用者的任何資訊都是無法被信任的,即使 X-Forwarded-For 等 header 皆是。

 

那怎麼用 X-Forward-For 來抓 Client IP 呢?

 

在 Apache 文件的「mod_authz_core#require」有提到,如果你要取得 Client 的資訊或是任何 header 需要搭配 mod_setenvif 模組使用,舉例:

  • 判斷 User-Agent 如果有 bot 字串就允許
<VirturlHost *:80>
...
  SetEnvIf User-Agent "^.*bot.*$" blockbot
  <Directory "/sitemap.xml">
    Require env blockbot
  </Directory>
...
</VirturlHost>

 

  • 判斷 X-Forwarded-For 來源是 10.* 就允許
<VirtualHost *:80>
...
  SetEnvIf X-Forwarded-For "^10\.\d{1,3}\.\d{1,3}\.\d{1,3}$" internal_user
  <Location "/login">
    Require env internal_user
  </Location>
...
</VirtualHost>

 

SetEnvIf 這邊通常會用 regular 來表示,至於怎麼寫可以到 regexpal 練習。

 

 

同場加碼:用 Puppet 實現 Apache 2.4 X-Forwarded-For 阻擋 Location

2 Replies to “Apache 2.4 透過 X-Forwarded-For 阻擋特定 location”

  1. gslin表示:

    你應該用 mod_remoteip 解這個問題,不需要用 workaround。

    • shazi7804表示:

      這個是中午提出需求後,當天要解完,沒有想太多其他的方式。

      果然寫出來就可以吊出高手來解題 XDDD …

給 Mr. 沙先生一點建議

彙整

分類

展開全部 | 收合全部

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱