服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Apache Alow来自负载平衡器背后的特定IP
Intereting Posts
服务器级别的Exchange 2003默认inheritance安全设置 postfix + opendkim:“发件人:”和“消息ID”字段不包括在签名 l2tp / pptp + freeradius(会计信息只在断开时得到更新) 阻止负载均衡器后面的IP SQL 2008安装失败 如何在不重新安装实例的情况下移动SQL Server 2005实例“根目录”? 浮动IP和虚拟IP之间有什么区别? Azure虚拟机 – 它们提供什么容错function? VMware vCSA 6.5 SSO:无法获得适用于任何浏览器,多台PC的“增强authentication插件” USB驱动器仅用于Linux备份:要分区还是不分区? 开机后apt-get update会导致很多Ign和Hit,导致'没有安装候选'错误 SQL故障转移群集客户端不更新DNS NGINX反向代理不加载资源 有没有类似于Dovecot的pflogsumm(Postfix logs parser)的工具? 如何使用组策略首选项replace文件夹中的文件?

Apache Alow来自负载平衡器背后的特定IP

我们有一个端点,我们已经locking,只能从特定的IP访问。 我们有一个conf部分有点像这样: 

<Location /Foo> Order allow,deny Allow from 111.111.111.111 Allow from 111.222.333.444 ... </Location>

现在,我们需要在两台计算机之间进行负载均衡,但是我们仍然需要将其locking,以便只能从这些IP访问。

所以…我怎么能设置Apache Allow from X-Forwarded-For

据推测,你有一个负载平衡器在做SNAT / NAPT模糊客户端IP地址。

你见过这个答案,它使用SetEnvIf来解决吗? Apache,使用X-Forwarded-For for allow

关于锻造的答案有评论。 我会指出:

  • 有人可以直接访问你的服务器(可能是内部攻击者)可以伪造X-Forwarded-For头,所以你也应该把Apachelocking在负载平衡器的SNAT地址上。
  • 您的负载平衡器应该清理传入请求中的X-Forwarded-For标头,以便外部攻击者不能伪造它。