OpenBSD httpd.conf 条件

OpenBSD httpd.conf 条件

注意:这个问题是关于内置 OpenBSD http 服务器名为httpd及其配置。它不适用于任何其他网络服务器。

是否可以对新的 OpenBSD http 服务器进行运行时条件配置httpd?一个简单的例子是

server "myserver.com" {
  if $REMOTE_ADDR == "127.0.0.1" block drop
}

禁止本地访问。

另一个也许更相关和更具启发性的例子是,我正在实现一个从特定位置运行的远程服务的接口,那么我将受益于类似的东西

remote_service1_ip = "192.168.0.1"
server "myserver.com" {
  location "/remote_service1_api/" {
    if $REMOTE_ADDR != $remote_service1_ip block drop
  }
}

如果这是可能的,正确的做法是什么?

更一般地说 - 有许多预定义的宏在man-OpenBSD 页面-httpd.conf如中所述block

$DOCUMENT_URI
    The request path.
$QUERY_STRING
    The optional query string of the request.
$REMOTE_ADDR
    The IP address of the connected client.
$REMOTE_PORT
    The TCP source port of the connected client.
$REMOTE_USER
    The remote user for HTTP authentication.
$REQUEST_URI
    The request path and optional query string.
$SERVER_ADDR
    The configured IP address of the server.
$SERVER_PORT
    The configured TCP server port of the server.
$SERVER_NAME
    The name of the server.
%n
    The capture index n of a string that was captured by the enclosing location match option.

我想知道如何使用它们。在重定向上下文中使用$REMOTE_ADDR对我来说似乎相当愚蠢,我想应该有其他用途可以使用它们,但我在文档中找不到或理解任何此类用例。

答案1

同时httpd支持使用patternsalias match在某些关键字 ( ,, )的上下文中,location matchserver match正在寻找的功能未在 中实现httpd

我看到有两种方法可以实现你的意图:

  1. 邮件列表上的 crosspost openbsd-misc- 的作者之一httpd可能会在那里接你
  2. 使用pf到防火墙。由于各种原因,我强烈推荐这种方式,包括
    • httpd由于应用程序 ( ) 不必承受任何负载,因此可以针对拒绝服务类型的攻击提供更高级别的保护
    • 来自客户端的数据包可以在全局 ( IP) 范围内进行检查和阻止 - 即泛洪客户端可能无法连接到该ssh端口

我认为,pf学习是一件非常令人满意的事情。

此外,我怀疑对相应帖子的可能答案openbsd-misc与我的建议类似:)

相关内容