Apache Alow De IPs específicos por trás do balanceador de carga

Navegue suas respostas
2

Temos um endpoint bloqueado para ser acessado apenas por IPs específicos. Nós temos uma seção conf como esta: 

<Location /Foo>
    Order allow,deny
    Allow from 111.111.111.111 
    Allow from 111.222.333.444
    ...
</Location>

Agora, chegamos ao ponto em que precisamos equilibrá-lo entre duas máquinas, mas ainda precisamos bloqueá-lo para estar acessível apenas por esses IPs.

Então ... como posso definir o Apache como Allow from o X-Forwarded-For ?

    
por Jeremy Logan 28.06.2012 / 00:36

1 resposta

0

Provavelmente você tem um balanceador de carga que está fazendo SNAT / NAPT obscurecendo o endereço IP do cliente.

Você já viu essa resposta, que resolve usando SetEnvIf? Apache, use o X-Forwarded-For para permitir

Há um comentário sobre essa resposta sobre falsificação. Eu diria que:

  • Alguém que pode acessar seu servidor diretamente (presumivelmente um invasor interno) pode falsificar o cabeçalho X-Forwarded-For, portanto, você também deve bloquear o Apache para apenas os endereços SNAT do balanceador de carga.
  • Seu balanceador de carga deve estar removendo cabeçalhos X-Forwarded-For de solicitações recebidas para que invasores externos não possam falsificá-lo.
por 04.07.2012 / 08:33

Tags

Bind9 não está fazendo nada com respostas de consulta encaminhadas? É possível carregar novas bibliotecas do PostgreSQL sem reiniciar o servidor?