Я хочу добавить IP-адрес блока в nginx configure. Но к нему все еще можно получить доступ, используя curl!
...
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent $request_time "$http_referer" '
'"$http_user_agent" REALIP"$http_x_forwarded_for"';
location / {
include /usr/local/nginx/blockip.conf;
root html;
index index.html index.htm;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header HTTP_X_FORWARDED_FOR $remote_addr;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://127.0.0.1:8080;
}
...
the blockip.conf
deny 1.2.3.4;
deny 3.4.5.6;
Есть две ситуации здесь.
1. Указывать на сервер напрямую, используя доменное имя (запись A), blockip может хорошо работать.
2.При добавлении сервера защиты ddos nginx правило запрета больше не работает!
Но я могу получить настоящий IP из nginx -access-log. Вот пример логов:
defence-server-IP - - [23/Mar/2020:14:15:59 +0800] "GET /walle HTTP/1.1" 404 1079 0.001 "-" "curl/7.58.0" REALIP"1.2.3.4"
defence-server-IP - - [23/Mar/2020:14:16:07 +0800] "GET /walle HTTP/1.1" 404 1079 0.000 "-" "curl/7.58.0" REALIP"3.4.5.6"
решение
Кстати. Я изменяю nginx на openresty
server {
...
set_real_ip_from defence-server-ip-ranges/24;
...
real_ip_header X-Forwarded-For;
include /usr/local/nginx/blockip.conf;
localtion {...}
...
}