Recentemente, quando Qiufu mantinha o site de um cliente, o cliente solicitou que o acesso de IPs estrangeiros fosse bloqueado. De acordo com os registros, a maioria dos IPs atacantes vieram do exterior e os usuários alvo eram domésticos, portanto, apenas IPs domésticos tinham permissão para acessar. o site. Pode bloquear a grande maioria dos ataques CC e DDoS. Após testes reais, descobriu-se que o efeito ainda é bom e o custo de atacar novamente aumentou muito.
No entanto, um problema foi descoberto posteriormente. Depois de usar o CDN da Cloudflare, os endereços IP obtidos pelo site eram todos dos nós CDN da Cloudflare. Os endereços IP de usuários reais não puderam ser obtidos e o efeito de defesa foi bastante reduzido. Felizmente, a Cloudflare já pensou nisso para nós, incluindo o endereço IP do visitante no cabeçalho X-Forwarded-For e no cabeçalho CF-Connecting-IP.
Com o cabeçalho X-Forwarded-For, você pode usar o módulo ngx_http_realip_module se for Nginx, ou o módulo mod_remoteip se for Apache para obter o IP real do usuário. Este artigo irá compartilhar como compilar e habilitar o módulo ngx_http_realip_module e o módulo mod_remoteip para obter o endereço IP real do usuário.
De modo geral, os fornecedores de CDN adotaram protocolos padrão como X-Forwarded-For e X-Real_IP, portanto, o acesso para obter o IP real do usuário apresentado neste artigo é basicamente aplicável a outros fornecedores de CDN. Para obter mais informações sobre aceleração de CDN e otimização de servidor e métodos de aceleração, aqui estão:
- Gerenciamento de acesso de parceiros da Cloudflare Aceleração dinâmica Railgun habilitada para CDN da Cloudflare
- Tutorial do aplicativo de aceleração Youpaiyun CDN - espelhamento com um clique, CDN dinâmico estático e SSL grátis
- WordPress habilita o método de aceleração de cache Nginx fastcgi_cache - exemplo de configuração Nginx
1. Nginx compila ngx_http_realip_module
1.1 Compilação Oneinstack
Se você estiver usando o pacote Oneinstack de um clique, poderá usar o seguinte comando para compilar ngx_http_realip_module:
#下编译安装nginx的时候,都编译安装的哪些模块 [root@wzfoume ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.4.7 20120313 (Red Hat 4.4.7-23) (GCC) built with OpenSSL 1.1.1a 20 Nov 2018 TLS SNI support enabled configure arguments: --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.1.1a --with-pcre=../pcre-8.42 --with-pcre-jit --with-ld-opt=-ljemalloc #进入到oneinstack的nginx安装目录下,如果没有请先解压 [root@wzfoume src]# cd /root/oneinstack/src [root@wzfoume src]# tar xzf nginx-1.14.2.tar.gz [root@wzfoume src]# cd /root/oneinstack/src/nginx-1.14.2 [root@wzfoume nginx-1.14.2]# ./configure --prefix=/usr/local/nginx --user=www --group=www --with-http_stub_status_module --with-http_v2_module --with-http_ssl_module --with-http_gzip_static_module --with-http_realip_module --with-http_flv_module --with-http_mp4_module --with-openssl=../openssl-1.1.1a --with-pcre=../pcre-8.42 --with-pcre-jit --with-ld-opt=-ljemalloc --with-http_realip_module make #如果出现错误,应该是依赖路径不对,请cd ..到上一个目录解压相应的软件 tar xzf pcre-8.42.tar.gz tar xzf openssl-1.0.2q.tar.gz tar xzf openssl-1.1.1a.tar.gz #编译完成,备份原先配置,然后替换nginx二进制文件 mv /usr/local/nginx/sbin/nginx{,_`date +%F`} #备份nginx cp objs/nginx /usr/local/nginx/sbin #查看是否已经把http_realip_module模块加入进去 nginx -V
1.2 Compilação LNMP
Se você estiver usando o pacote LNMP de um clique, encontre lnmp.conf no diretório de instalação do lnmp e edite-o, adicione realip a Nginx_Modules_Options
, salve e execute ./upgrade.sh nginx
para apenas atualizar o Nginx. O comando é o seguinte:
Nginx_Modules_Options='--with-http_realip_module'
1.3 Painel Pagode BT
Se estiver usando o painel BT Pagoda, você pode usar o seguinte comando para compilar ngx_http_realip_module:
#宝塔面板安装模块 #先查看一下本机的Nginx配置情况 [root@cs ~]# nginx -V nginx version: nginx/1.14.2 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC) built with OpenSSL 1.0.2l 25 May 2017 TLS SNI support enabled configure arguments: --user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc #开始下载Nginx,这里用的是1.15.1,你也可以下载其它的版本 wget http://nginx.org/download/nginx-1.15.1.tar.gz tar -xzvf nginx-1.15.1.tar.gz cd nginx-1.15.1 #下面的命令只是在上面的Nginx -v得到的配置详情后加上了--with-http_realip_module,目的是为了保持原来的配置不变同时又增加新的模块 ./configure --user=www --group=www --prefix=/www/server/nginx --with-openssl=/www/server/nginx/src/openssl --add-module=/www/server/nginx/src/ngx_devel_kit --add-module=/www/server/nginx/src/lua_nginx_module --add-module=/www/server/nginx/src/ngx_cache_purge --add-module=/www/server/nginx/src/nginx-sticky-module --add-module=/www/server/nginx/src/nginx-http-concat --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-stream --with-stream_ssl_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt=-Wl,-E --with-pcre=pcre-8.40 --with-ld-opt=-ljemalloc --with-http_realip_module #只编译不安装 make #先停用Nginx,然后替换新的Nginx并查看模块是否已经加载。命令如下: mv /www/server/nginx/sbin/nginx /www/server/nginx/sbin/nginx-wzfou.backup cp objs/nginx /www/server/nginx/sbin/nginx nginx -V #重启Nginx
2. Configurações Nginx set_real_ip_from
Depois de compilar ngx_http_realip_module, agora só precisamos adicionar o código set_real_ip_from ao arquivo de configuração Nginx.
set_real_ip_from 222.222.222.222; #这里是需要填写具体的CDN服务器IP地址,可添加多个 set_real_ip_from 222.222.111.111; real_ip_header X-Forwarded-For; real_ip_recursive on;
Se você estiver usando o CDN gratuito CloudFlare, adicione o seguinte código ao seu arquivo de configuração Nginx.
location / { set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 104.16.0.0/12; set_real_ip_from 108.162.192.0/18; set_real_ip_from 131.0.72.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 162.158.0.0/15; set_real_ip_from 172.64.0.0/13; set_real_ip_from 173.245.48.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 190.93.240.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; set_real_ip_from 199.27.128.0/21; set_real_ip_from 2400:cb00::/32; set_real_ip_from 2606:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; set_real_ip_from 2c0f:f248::/32; set_real_ip_from 2a06:98c0::/29; # use any of the following two real_ip_header CF-Connecting-IP; #real_ip_header X-Forwarded-For; } #不要忘记重启nginx service nginx restart
De modo geral, o endereço IP do CloudFlare não mudará. Você pode encontrá-lo aqui: https://www.cloudflare.com/ips/, mas por precaução, wzfou.com recomenda definir um endereço IP que atualize automaticamente o CloudFlare. a tarefa agendada adiciona automaticamente o IP mais recente ao arquivo de configuração Nginx. código mostrado abaixo:
#在nginx配置目录创建cloudflare_ip.conf文件 touch /usr/local/nginx/conf/cloudflare_ip.conf #修改原有的vhost配置,将原来第五步配置的信息改为 include cloudflare_ip.conf; #创建自更新脚本update_cloudflare_ip.sh(假定该文件放在 /root 目录下),内容如下: #!/bin/bash echo "#Cloudflare" > /usr/local/nginx/conf/cloudflare_ip.conf; for i in `curl https://www.cloudflare.com/ips-v4`; do echo "set_real_ip_from $i;" >> /usr/local/nginx/conf/cloudflare_ip.conf; done for i in `curl https://www.cloudflare.com/ips-v6`; do echo "set_real_ip_from $i;" >> /usr/local/nginx/conf/cloudflare_ip.conf; done echo "" >> /usr/local/nginx/conf/cloudflare_ip.conf; echo "# use any of the following two" >> /usr/local/nginx/conf/cloudflare_ip.conf; echo "real_ip_header CF-Connecting-IP;" >> /usr/local/nginx/conf/cloudflare_ip.conf; echo "#real_ip_header X-Forwarded-For;" >> /usr/local/nginx/conf/cloudflare_ip.conf; #配置crontab 每周一的上午5点更新 0 5 * * 1 /bin/bash /root/update_cloudflare_ip.sh
3. Módulo mod_remoteip de configuração do Apache
3.1 apache2.4
O módulo mod_remoteip que vem com o apache 2.4 não precisa ser instalado. Siga os passos abaixo:
#启用模块 vim /usr/local/apache/conf/httpd.conf Include conf/extra/httpd-remoteip.conf #添加如下内容 vim /usr/local/apache/conf/extra/httpd-remoteip.conf LoadModule remoteip_module modules/mod_remoteip.so RemoteIPHeader X-Forwarded-For RemoteIPInternalProxy 127.0.0.1/24 #CloudFlare IP Ranges RemoteIPInternalProxy 103.21.244.0/22 RemoteIPInternalProxy 103.22.200.0/22 RemoteIPInternalProxy 103.31.4.0/22 RemoteIPInternalProxy 104.16.0.0/12 RemoteIPInternalProxy 108.162.192.0/18 RemoteIPInternalProxy 131.0.72.0/22 RemoteIPInternalProxy 141.101.64.0/18 RemoteIPInternalProxy 162.158.0.0/15 RemoteIPInternalProxy 172.64.0.0/13 RemoteIPInternalProxy 173.245.48.0/20 RemoteIPInternalProxy 188.114.96.0/20 RemoteIPInternalProxy 190.93.240.0/20 RemoteIPInternalProxy 197.234.240.0/22 RemoteIPInternalProxy 198.41.128.0/17 #你的CDN的IP,可以重复添加 #修改日志格式,在日志格式中加上%a,然后重启apache即可 LogFormat "%h %a %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i"" combined LogFormat "%h %a %l %u %t "%r" %>s %b" common LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i" %I %O" combined
3.2 apache2.2
O Apache 2.2 precisa instalar o módulo mod_remoteip. O método é o seguinte:
wget https://github.com/ttkzw/mod_remoteip-httpd22/raw/master/mod_remoteip.c /usr/local/apache/bin/apxs -i -c -n mod_remoteip.so mod_remoteip.c #启用模块 vim /usr/local/apache/conf/httpd.conf Include conf/extra/httpd-remoteip.conf #添加如下内容,然后重启apache即可 vim /usr/local/apache/conf/extra/httpd-remoteip.conf LoadModule remoteip_module modules/mod_remoteip.so RemoteIPHeader X-Forwarded-For RemoteIPInternalProxy 127.0.0.1 #你的CDN的IP,可以重复添加
4. O site só permite acesso IP do Cloudflare CDN
Acima obtivemos o endereço IP real do usuário instalando os módulos ngx_http_realip_module e mod_remoteip, mas às vezes precisamos usar a função de proteção de segurança da Cloudflare para evitar ataques CC ou DDoS, ou seja, permitir apenas que o IP CDN da Cloudflare acesse nosso acesso.
Os exemplos de código do Nginx negando e permitindo diretamente o acesso IP são os seguintes:
location / { deny 192.168.1.1; allow 192.168.1.0/24; allow 10.1.1.0/16; allow 2001:0db8::/32; #Railgun IP deny all; }
Se permitirmos apenas que o IP do Cloudflare CDN acesse o site, poderemos adicionar diretamente o IP do Cloudflare CDN ao intervalo permitido na configuração do nginx.
#直接加入 # https://www.cloudflare.com/ips # IPv4 allow 103.21.244.0/22; allow 103.22.200.0/22; allow 103.31.4.0/22; allow 104.16.0.0/12; allow 108.162.192.0/18; allow 131.0.72.0/22; allow 141.101.64.0/18; allow 162.158.0.0/15; allow 172.64.0.0/13; allow 173.245.48.0/20; allow 188.114.96.0/20; allow 190.93.240.0/20; allow 197.234.240.0/22; allow 198.41.128.0/17; # IPv6 allow 2400:cb00::/32; allow 2405:8100::/32; allow 2405:b500::/32; allow 2606:4700::/32; allow 2803:f800::/32; allow 2c0f:f248::/32; allow 2a06:98c0::/29;
Atualizar automaticamente o IP CDN da Cloudflare. É simples e conveniente adicionar manualmente o IP do Cloudflare CDN à configuração do Nginx. No entanto, quando o IP do Cloudflare CDN for alterado, você terá que lidar com isso manualmente. adicione-o à configuração do Nginx, o código é o seguinte:
touch /usr/local/nginx/conf/allow_ip.conf #修改网站nginx配置,加入以下代码: include /usr/local/nginx/conf/allow_ip.conf; vim /data/script/allow_cf_ip.sh #!/bin/bash echo "#Cloudflare" > /usr/local/nginx/conf/allow_ip.conf; for i in `curl https://www.cloudflare.com/ips-v4`; do echo "allow $i;" >> /usr/local/nginx/conf/allow_ip.conf; done for i in `curl https://www.cloudflare.com/ips-v6`; do echo "allow $i;" >> /usr/local/nginx/conf/allow_ip.conf; done #添加定时任务 0 5 * * 1 /bin/bash /data/script/allow_cf_ip.sh
5. Resumo
Após usar a aceleração CDN, o IP do usuário obtido pelo nosso site passa a ser o IP CDN. Se quisermos obter o IP real do usuário, devemos usar as funções de modo do Nginx e Apache. Claro, se você estiver usando PHP, como o WordPress, basta adicionar o código a seguir diretamente ao arquivo de configuração do WordPress.
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $list = explode(‘,’,$_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_ADDR'] = $list[0]; }
Um lembrete especial aqui é que se você habilitar a aceleração dinâmica Cloudflare Railgun (o gerenciamento de acesso Cloudflare Partner da Mining Station fornece este serviço gratuito), lembre-se de adicionar o IP do servidor Railgun à configuração, pois após habilitar o Railgun, o site obterá o IP os endereços obtidos são todos do servidor Railgun.