Ситуация довольно типичная. Я использую CentOS + Apache (ы) за балансировщиком нагрузки для веб-сайтов.
На этом этапе предположим, что у меня нет доступа к балансировщику нагрузки (или) давайте забудем об этом.
В настоящее время я использую .htaccess
БЛОКИРОВАТЬ IP-адреса, потому что родной iptables
не может заблокировать X-Forwarded-For
вид IP-адресов (насколько я понимаю).
Мой нынешний подход в любом случае работает. Но это по-прежнему позволяет, по крайней мере, поражать мой Apache (ы).
Есть ли firewall
(лайк: iptables
) который может заблокировать X-Forwarded-For
IP / соединения тоже?
Заранее всем спасибо :)
Нет, брандмауэры вроде iptables работают на уровне tcp. Чтобы просмотреть http-заголовок x-forwarded-for, вам необходимо принять соединение и принять хотя бы заголовки запроса от клиента, прежде чем вы сможете оценить IP-адрес x-forwarded-for.
Безусловно, лучшее место для выполнения блокировки - это сам балансировщик нагрузки до того, как запрос будет передан в apache, большинство балансировщиков нагрузки будут иметь эту функцию.