Назад | Перейти на главную страницу

Есть ли локальный «брандмауэр» для блокировки IP-адресами «X-Forwarded-For» за обратными прокси-серверами?

Ситуация довольно типичная. Я использую CentOS + Apache (ы) за балансировщиком нагрузки для веб-сайтов.


На этом этапе предположим, что у меня нет доступа к балансировщику нагрузки (или) давайте забудем об этом.


В настоящее время я использую .htaccess БЛОКИРОВАТЬ IP-адреса, потому что родной iptables не может заблокировать X-Forwarded-For вид IP-адресов (насколько я понимаю).

Мой нынешний подход в любом случае работает. Но это по-прежнему позволяет, по крайней мере, поражать мой Apache (ы).

Есть ли firewall (лайк: iptables) который может заблокировать X-Forwarded-For IP / соединения тоже?

Заранее всем спасибо :)

Нет, брандмауэры вроде iptables работают на уровне tcp. Чтобы просмотреть http-заголовок x-forwarded-for, вам необходимо принять соединение и принять хотя бы заголовки запроса от клиента, прежде чем вы сможете оценить IP-адрес x-forwarded-for.

Безусловно, лучшее место для выполнения блокировки - это сам балансировщик нагрузки до того, как запрос будет передан в apache, большинство балансировщиков нагрузки будут иметь эту функцию.