Basic Auth apache 2.2 绕过 IP

Question

您的配置很好，非常标准。如果您使用的haproxy是全部请求是其haproxy本身，并且该allow from指令是根据这个 IP 地址进行检查的，而不是根据标头的内容X-Forwarded-For。

有几种方法可以使固定这个。在 Apache v2.2 中，您可以使用第三方模块，例如 mod_custom_headers (http://support.en.ctx.org.cn/ctx109555.citrix抱歉，原始 citrix 页面似乎已被移动或删除）或可能mod_rpaf（我以前没有使用过它，因此不确定它是否能allow from正常工作）。

这些模块修改 Apache 保存的有关请求的数据，以便源 IP 成为由您的代理设置的命名标头的值（例如X-Forwarded-For）。

或者，您可以升级到 Apache v2.4 并使用 mod_remoteip，它可以执行相同的操作。

请注意，还有一个 Apache 配置解决方案，您可以通过它在上设置自己的标头haproxy（或者，如果您信任它，也可以使用它X-Forwarded-For）。类似于：

SetEnvIf X-Forwarded-For ^111.111.111.111 access_granted_by_ip
SetEnvIf X-Forwarded-For ^222.222.222.222 access_granted_by_ip
Order allow,deny
Allow from env=access_granted_by_ip

但我承认，对于多个 IP 地址来说，它有点笨重。

Answer 1

您的配置很好，非常标准。如果您使用的haproxy是全部请求是其haproxy本身，并且该allow from指令是根据这个 IP 地址进行检查的，而不是根据标头的内容X-Forwarded-For。