昨天因為某個案件需要緊急將某幾個特定 location path 僅提供給某些網段使用者使用,然後就搞到晚上 9 點多 … 記錄一下使用方式。
一般狀況下 Apache 2.4 要進行這類型的限制,可以參考官方的「Access Control」簡單的利用 require 來處理,像是:
- 白名單開放
<VirturlHost *:80>
...
<Location "/blackuri">
Require ip 10.0.0.0/8
</Location>
...
</VirturlHost>
- 黑名單限制
<VirturlHost *:80>
...
<Location "/blackuri">
Require all granted
Require not ip 111.111.111.0/24
</Location>
...
</VirturlHost>
但是一般狀況下前面會放 Load balance 來處理負載均衡,如果不巧的你用的是 L7 的 Load balance 透過 NAT Mode,就必須用 X-Forwarded-For header 將使用者端的 IP 丟給後端 Server 做判斷,如果用上方的範例你永遠抓到都是 Load balance 的 IP,皆會判斷失誤。
矛盾一下:使用者的任何資訊都是無法被信任的,即使 X-Forwarded-For 等 header 皆是。
那怎麼用 X-Forward-For 來抓 Client IP 呢?
在 Apache 文件的「mod_authz_core#require」有提到,如果你要取得 Client 的資訊或是任何 header 需要搭配 mod_setenvif 模組使用,舉例:
- 判斷 User-Agent 如果有 bot 字串就允許
<VirturlHost *:80>
...
SetEnvIf User-Agent "^.*bot.*$" blockbot
<Directory "/sitemap.xml">
Require env blockbot
</Directory>
...
</VirturlHost>
- 判斷 X-Forwarded-For 來源是 10.* 就允許
<VirtualHost *:80>
...
SetEnvIf X-Forwarded-For "^10\.\d{1,3}\.\d{1,3}\.\d{1,3}$" internal_user
<Location "/login">
Require env internal_user
</Location>
...
</VirtualHost>
SetEnvIf 這邊通常會用 regular 來表示,至於怎麼寫可以到 regexpal 練習。