nginx 拒绝对虚拟主机的所有请求。请求来自 nginx tcp 转发器

tag-icon tag-icon nginx virtualhost load-balancing proxypass
nginx 拒绝对虚拟主机的所有请求。请求来自 nginx tcp 转发器

摘要 - 需要将白名单 IP 添加到 mysite1.example.com。现在,当添加它们时,它不起作用,因为每个请求都来自负载平衡器服务器。

我正在设置一个前端 Nginx 主机和一个上游后端,以便将端口 443 上的所有 tcp 数据包负载平衡到后端服务器。

运行 nginx 的 Loadbalancer 服务器(服务器 C)的 nginx 配置如下

stream {
        upstream stream_backend {
                hash $remote_addr consistent;
                server 10.15.15.3:443;   ## server A
                server 10.15.15.9:443;   ## server B
        }


        server {
                listen     443;
                proxy_pass stream_backend;
                proxy_timeout 5s;
                proxy_connect_timeout 5s;
        }
}

服务器 A 和服务器 B 具有以下 nginx.conf。它们是具有应用程序的相同服务器。

它有两个虚拟主机分别运行。它们运行良好。

http {

    server {
        server_name mysite1.example.com;
        listen *:443 ssl;
        listen [::]:443 ssl;
        
        allow 123.45.85.220; # this seems not working
        deny all; # only this is working

        
        location ^~ /static/ {
            ...
        }
        ...
        
        ssl_certificate        file.pem;
        ssl_certificate_key    file.key;
    }


    server {
        server_name mysite2.example.com;
        listen *:443 ssl;
        listen [::]:443 ssl;
        
        
        location /somethin {
            ...
        }
        location /something2{
            ...
        }
        
        ssl_certificate        file.pem;
        ssl_certificate_key    file.key;
    }
}

我需要的是将虚拟主机 mysite1.example.com 的少数 IP 列入白名单。我面临的问题是,在服务器 A 和 B 上运行的 nginx 将负载均衡器 IP 视为客户端 IP。因此,当尝试添加允许 IP 时;拒绝全部。对任何主机都不起作用,因为它将所有请求的负载均衡器 IP 作为客户端 IP。

有人能指导我如何添加代理 IP 配置,以使上述设置正常运行吗?除了 IP 白名单问题外,设置已完成。

ps SSl 终止发生在后端服务器、服务器 A 和服务器 B

我搜索了整个网络并发现这些很有帮助,但仍然不知道如何让它们正常工作。

https://stackoverflow.com/questions/40873393/nginx-real-client-ip-to-tcp-stream-backend https://www.cyberciti.biz/faq/nginx-redirect-backend-traffic-based-upon-client-ip-address/

答案1

发生这种情况是因为您的 nginx 负载均衡器与您的 nginx Web 服务器建立了新的 TCP 连接,导致原始客户端 IP 地址丢失。

您可以使用 PROXY 协议解决此问题。此协议会在新连接打开时发送原始 IP 地址信息,以便您的 Web 服务器能够感知到。

要进行设置,您需要进行以下更改:

  • 在负载均衡器上,设置proxy_protocol on;

    stream {
    server {
        proxy_pass somewhere;
        proxy_protocol on;

  • 在 Web 服务器上,接受 PROXY 协议,并为负载均衡器的 IP 地址启用 Real IP 功能。

    server {
    listen 443 ssl http2 proxy_protocol;
    listen [::]:443 ssl http2 proxy_protocol;
    real_ip_header proxy_protocol;
    set_real_ip_from <load balancer's IP>;

您可以对 PROXY 协议进行其他调整,具体请参见nginx 文档但这应该可以帮助您开始并解决眼前的问题。

答案2

我的方法是:

使用 SNI 在负载均衡器中进行过滤:

基本上:SNI 允许代理查看域名,而无需终止 TLS。这里是指南。以下是nginx 文档将其组合成解决方案。如果你能做到这一点,那么你就可以根据 进行否定$ssl_preread_server_name

if ( $ssl_preread_server_name ~* mysite1.example.com && $remote_addr !~* <whitelisted_ip> ) {
           return 404;

real_ip 模块似乎也是一个很好的解决方案。

编辑

PROXY 协议实际上比 real_ip 更好。但这仍然意味着您的后端服务器会受到请求的影响,最终会被阻止。SNI 解决方案会在负载均衡器上捕获这些请求。

答案3

好像你的代理没有传递真实 IP,请尝试添加此参数

proxy_set_header X-Real-IP $remote_addr;

你能检查一下那里的 IP 访问日志吗?

相关内容