我有一个路由IP和haproxy正坐在那里,haproxy也有LAN IP联系后端。 我有几个后端 – 每个都有一些nginx,有时几个域服务。 我来到了我想要缩小访问列表的范围 – 我的网站+其他一些IP。 我正在做SSL终止,但这并不重要,因为我知道。 从我的configuration的基本部分:
frontend https-in bind *:443 ssl crt /etc/haproxyssl/domain1.pem crt /etc/haproxyssl/domain2.pem reqadd X-Forwarded-Proto:\ https acl host_1 hdr(host) -i add.domain1.net acl host_1 hdr(host) -i sub.domain1.net acl host_2 hdr(host) -i pro.domain2.net use_backend worker_1 if host_1 use_backend worker_2 if host_2 default_backend worker_2 backend worker_2 redirect scheme https if !{ ssl_fc } balance leastconn option forwardfor cookie JSESSIONID prefix option http-server-close acl 2_list src 127.0.0.1 172.18.0.1/24 10.1.2.0/24 tcp-request content accept if 2_list tcp-request content reject server dodo 10.1.2.65:80 cookie A check 当然acl 2_list不工作,因为代理是在http模式 – 后端看到haproxy ip,而不是客户端 – 我很好 – 我不需要在后端的源IP。 我不想做tproxy解决scheme。 HaProxy在Gentoo上是v1.5.4。
问题 :我可以在每个域/后端的前端有一个acl列表吗?