内容简介:昨天因為某個案件需要緊急將某幾個特定 location path 僅提供給某些網段使用者使用,然後就搞到晚上 9 點多 … 記錄一下使用方式。一般狀況下 Apache 2.4 要進行這類型的限制,可以參考官方的「但是一般狀況下前面會放 Load balance 來處理負載均衡,如果不巧的你用的是 L7 的 Load balance 透過 NAT Mode,就必須用 X-Forwarded-For header 將使用者端的 IP 丟給後端 Server 做判斷,如果用上方的範例你永遠抓到都是 Load b
昨天因為某個案件需要緊急將某幾個特定 location path 僅提供給某些網段使用者使用,然後就搞到晚上 9 點多 … 記錄一下使用方式。
一般狀況下 Apache 2.4 要進行這類型的限制,可以參考官方的「 Access Control 」簡單的利用 require 來處理,像是:
- 白名單開放
<VirturlHost *:80> ... <Location "/blackuri"> Require ip 10.0.0.0/8 </Location> ... </VirturlHost>
- 黑名單限制
<VirturlHost *:80> ... <Location "/blackuri"> Require all granted Require not ip 111.111.111.0/24 </Location> ... </VirturlHost>
但是一般狀況下前面會放 Load balance 來處理負載均衡,如果不巧的你用的是 L7 的 Load balance 透過 NAT Mode,就必須用 X-Forwarded-For header 將使用者端的 IP 丟給後端 Server 做判斷,如果用上方的範例你永遠抓到都是 Load balance 的 IP,皆會判斷失誤。
矛盾一下:使用者的任何資訊都是無法被信任的,即使 X-Forwarded-For 等 header 皆是。
那怎麼用 X-Forward-For 來抓 Client IP 呢?
在 Apache 文件的「 mod_authz_core#require 」有提到,如果你要取得 Client 的資訊或是任何 header 需要搭配 mod_setenvif 模組使用,舉例:
- 判斷 User-Agent 如果有 bot 字串就允許
<VirturlHost *:80> ... SetEnvIf User-Agent "^.*bot.*$" blockbot <Directory "/sitemap.xml"> Require env blockbot </Directory> ... </VirturlHost>
- 判斷 X-Forwarded-For 來源是 10.* 就允許
<VirtualHost *:80>
...
SetEnvIf X-Forwarded-For "^10\.\d{1,3}\.\d{1,3}\.\d{1,3}$" internal_user
<Location "/login">
Require env internal_user
</Location>
...
</VirtualHost>
SetEnvIf 這邊通常會用 regular 來表示,至於怎麼寫可以到 regexpal 練習。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
