关于SLB后本地TCP协议无法获取真实IP
我在使用了SLB时,选择的协议是
HTTPS:443
HTTP:80
为什么没有使用TCP的协议,是因为我必须要强制用户使用https的方式登录,所以我将证书导入了SLB中,这是很好的功能。
随之而来出现的一个问题
虽然我可以使用nginx的http_realip_module模块来获取对方的真实IP地址,但后端的服务器的所有TCP协议则获取不到真实的IP地址
比如:
我使用netstat 看到的TCP连接都是SLB的IP,这样我是无法通过iptables来限定某个IP访问我的web服务器的,如果使用脚本的方法去做一些CC防护也不可能再使用iptables
我能想到的方法只能是在nginx的配置中通过deny IP的方式来实现了,如果要用脚本自动化的控制,只能用sed 来进行文本处理了,比较能接受的是我nginx支持重载配置文件,不用重启服务。
有没有其他更好的办法呢?
我真的很需要基于instance的外部策略防火墙
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
在阿里云的负载均衡SLB使用HTTPS或HTTP协议时,确实如您所述,客户端的真实IP地址会被SLB替换为自身的IP地址。这是因为SLB作为反向代理,它接收客户端请求后,会用自己的IP地址与后端服务器建立新的连接来转发请求,这导致后端服务器直接看到的是SLB的IP而非客户端的实际IP。
针对您的需求,阿里云SLB提供了X-Forwarded-For(简称XFF)头部来传递客户端的真实IP信息。当SLB配置了HTTPS/HTTP协议时,它会在请求头中添加或修改X-Forwarded-For字段,包含客户端的原始IP地址。这样,您可以在后端的Web服务器(如Nginx)配置中利用这个头部信息来获取并处理真实IP。
对于基于IP的访问控制和防护,您可以考虑以下几种方法:
-
利用Nginx配置:您已经提到了通过Nginx的
deny指令来实现IP黑名单或白名单管理。这是比较直接的方法,但需要手动维护IP列表。 -
X-Forwarded-For与iptables结合:虽然直接用iptables根据TCP连接的源IP进行过滤不可行,但您可以通过编写脚本解析Nginx日志或实时分析X-Forwarded-For头部,动态地将恶意IP加入到iptables规则中。这种方法较为复杂,且实时性可能受限。
-
使用WAF(Web应用防火墙):阿里云提供云安全中心(原名安骑士)和Web应用防火墙(WAF)服务,这些服务可以提供更高级的防护功能,包括基于IP的访问控制、CC攻击防护等,无需直接操作iptables。WAF可以作为SLB和后端服务器之间的一层保护,帮助您自动识别并阻止恶意流量。
-
自定义脚本与自动化工具:结合使用AWS Lambda(如果您指的是AWS环境)或者阿里云函数计算(FC),可以编写脚本来自动处理日志、更新防火墙规则或调用API来实施策略。这种方式可以提高响应速度和自动化程度,但需要一定的开发工作。
-
实例级别的外部策略防火墙:虽然阿里云ECS本身不直接提供类似传统硬件防火墙的实例级别外部策略配置,但结合云安全产品和服务,比如安全组规则、网络ACL(访问控制列表)以及上述提到的WAF,可以构建起多层防护体系,达到类似的防护效果。
综上所述,建议您结合使用X-Forwarded-For特性、优化Nginx配置,并考虑采用阿里云提供的安全服务(如WAF)来增强防护能力,以满足您的需求。您也可以通过ECS一键诊断全面排查并修复ECS问题。
