Cara menolak akses ke sumber daya berdasarkan header X-forwarded-for

Saya mencoba membatasi akses ke sumber daya di balik Nginx berdasarkan IP klien yang diteruskan dalam header X-forwarded-for. Nginx berjalan dalam wadah pada Kubernetes Cluster di Google Cloud Platform dan ips klien nyata diteruskan dalam header x-diteruskan-hanya untuk header

Sejauh ini saya sudah berhasil melakukannya untuk satu IP dengan kode berikut:

set $allow false;
if ($http_x_forwarded_for ~* 123.233.233.123) {
    set $allow true;
}
if ($http_x_forward_for ~* 10.20.30.40) {
    set $allow false;
}
if ($allow = false) {
    return 403;
}

Tetapi bagaimana saya bisa melakukan itu untuk seluruh rentang IP? Menentukan ratusan IP dengan tangan tidak masuk akal.

Semua bantuan dihargai

nginx

— p1hr
sumber

Jawaban:

Gunakan modul RealIP untuk menghormati nilai X-Forwarded-Forheader. Setel set_real_ip_fromke alamat IP dari proxy terbalik (nilai saat ini $remote_addr).

Sebagai contoh:

server {
    ...
    real_ip_header X-Forwarded-For;
    set_real_ip_from 10.1.2.3;
    ...
}

Anda sekarang harus dapat menggunakan $remote_addrdan allow/ denymengarahkan menggunakan alamat IP yang sebenarnya dari klien. Lihat dokumen ini untuk lebih lanjut.

— Richard Smith
sumber

jadi saya mencoba yang berikut ini tetapi tidak berhasil, apakah saya bingung?

location / {             real_ip_header X-Forwarded-For;             set_real_ip_from 10.0.0.0/8;             real_ip_recursive on;              allow xxx.xxx.xxx.xxx;

— p1hr

Setelah melihat dokumen Google Load Balancing, saya menemukan yang berikut:

X-Forwarded-For: <unverified IP(s)>, <immediate client IP>, <global forwarding rule external IP>, <proxies running in GCP> (requests only)

Entri <direct client IP> adalah klien yang terhubung langsung ke load balancer.

— p1hr

Agar ini berfungsi, Anda perlu mengidentifikasi rentang alamat untuk <global forwarding rule external IP>dan <proxies running in GCP>dan menambahkan set_real_ip_frompernyataan yang mencakup semuanya.

— Richard Smith

<global forwarding rule external IP>adalah ip eksternal dari layanan saya, tidak ada proksi lain di GCP, pada log nginx saya, saya melihat permintaan dalam format berikut di

[31/Jul/2017:20:05:46 +0000] "GET / HTTP/1.1" 403 169 "-" "curl/7.54.0" "aaa.aaa.aaa.aaa, bbb.bbb.bbb.bbb, ccc.ccc.ccc.ccc"

mana ccc.ccc.ccc.ccc adalah aturan penerusan global, bbb.bbb.bbb.bbb klien langsung ip - cocok dengan yang saya lihat di whatsmyip.org. Adakah peluang Anda untuk menyarankan cara mengekstrak bagian itu?

— p1hr

Ok, sekarang saya mulai bingung. Anda perlu set_real_ip_fromuntuk semua alamat di sebelah kanan alamat yang ingin Anda izinkan / tolak. Seperti yang ditunjukkan di real_ip_recursivebagian ini.

— Richard Smith

Jawaban Richard sudah berisi informasi tentang cara terbaik mendapatkan alamat IP asli ke nginx.

Sementara itu, apa yang muncul pada pertanyaan menentukan rentang IP, Anda dapat menggunakan http://nginx.org/en/docs/http/ngx_http_geo_module.html .

The geomodul bekerja seperti mapmodul, yaitu, variabel akan ditugaskan nilai tergantung pada nilai alamat IP.

Sebuah contoh:

geo $allow {
    default 0;
    192.168.168.0/24 1;
}

server {
    real_ip_header X-Forwarded-For;
    set_real_ip_from 10.1.2.3;

    if ($allow = 0) {
        return 403;
    }
}

Di sini kita menetapkan geopeta, di mana nilai default untuk $allowadalah 0. Jika alamat IP di subnet 192.168.168.0/24, maka $allowakan mendapatkan nilai 1, dan permintaan diizinkan.

Anda dapat memiliki banyak baris di geoblok yang Anda butuhkan untuk menentukan rentang IP Anda.

— Tero Kilkanen
sumber

Terima kasih! yang tampaknya bekerja dengan sangat baik, satu hal terakhir yang saya hadapi adalah client_ip dari X-forwarded-for. Saat ini, dari 3 alamat ip yang dilewati yang terakhir digunakan. Saya telah menambahkan di real_ip_recursive on;bawah ini set_real_ip_fromtetapi tidak ada bedanya

— p1hr

Apakah maksud Anda X-Forwarded-Fortajuk Anda memiliki tiga alamat terpisah, yaitu permintaan datang melalui beberapa proksi? Apakah Anda memiliki header lain di sana yang dapat Anda gunakan, yang hanya berisi IP klien?

— Tero Kilkanen

Setiap proksi dalam rantai akan menambahkan alamat IP-nya ke X-Forwarded-Forheader. Selain menambahkan real_ip_recursive onAnda juga perlu menambahkan set_real_ip_fromarahan untuk setiap alamat IP server tepercaya dalam rantai proxy Anda. Nginx kemudian akan bekerja melalui masing-masing arahan ini dan mengembalikan IP klien sebagai nilai pertama yang hits di X-Forwarded-Forheader yang tidak cocok dengan set_real_ip_fromnilai yang Anda tentukan

— miknik

FWIW, kombinasi ini tidak bekerja untuk saya dengan AWS ALB. Apa yang berhasil adalah menggunakan direktif proxy di dalam blok geo, dengan ip yang sama dengan set_real_ip - nginx.org/en/docs/http/ngx_http_geo_module.html

— talonx

Buat ini bekerja untukku.

geo $remote_addr $giveaccess {
      proxy 172.0.0.0/8; <-- Private IP range here
      default 0;
      11.22.33.44 1; <-- Allowed IP here
    }


server{
##
    location ^~ /secure_url_here {
        if ($giveaccess = 0){
          return 403; 
        }
        try_files $uri $uri/ /index.php?$args; <-- Add this line specific for your CMS, if required.
    }

Ref: http://nginx.org/en/docs/http/ngx_http_geo_module.html

— Seff
sumber