请记住在LVS/NGINX环境（nginx LUA）中的访问控制

我碰巧注意到，石墨显示的服务器网络卡上的流量显示出锯齿状的变化。 通过检查NGINX日志，我发现某人是定期原始接口数据。 这种行为使我无法忍受。

我试图通过简单地分析访问日志来快速锁定可疑的IP段，并用iptables阻止它们：

shell> iptables -s X.Y.Z.0/24 -jdrop

我认为这可以解决问题，但是结果使我失望了 - 这些测量结果完全有趣。 这些“小偷”是否找到了绕过封锁的方法？ 这不太可能！ 我的直觉告诉我，这可能与LVS有关，但不幸的是，我对LV的了解非常有限。 我唯一知道的是该项目使用FullNAT模式。因此，从这个角度来看，我们决定启动详细的调查：

lvs fullnat

FullNAT模式将源IP替换为LVS IP，如果用户通过LVS请求转移到RS服务器。 当RS服务器响应通过LVS发送给用户时，源IP从RS服务器的IP更改为LVS VIP，并且目标IP从LVS Intranet IP更改为用户IP。

注意：有关LVS的更多详细信息，请参阅文章“从开发角度来看”。但是，RS服务器显示LVS IP，而Nginx日志记录了客户端的IP。 为什么这是？ 您可以看到LVS以FullNAT模式引入TOA补丁机制，通过TCP 3握手阶段选项，覆盖套接字IP和端口数据传递用户IP和端口信息。

换句话说，来自iptables从RS服务器的角度来看，所有LVS IP都在RS服务器中看到，从NGINX的角度看，TOA的角色记录了用户的IP。 可以通过tcpdump命令数据包捕获来验证：

tcpdump

注意：如图所示，启动在254的字符串包含用户的IP和端口信息。

因此，我们可以得出结论，在RS服务器上阻止用户IP使用iPtable是无效的，因为我们无法操作LVS服务器，并且只能在RS服务器上看到。 NGINX可以获取用户的IP，因此您可以选择使用Nginx解决此问题。 Nginx提供了多个模块，例如访问Select和Geo。在这里，选择地理模块。

geo $ bad {默认值0; X.Y.Z.0 / 24 1;}位置 / {if（$ bad）{返回403; }}}

关于使用地理模块的使用，在此不重复，因为有许多良好的参考材料可供参考。

有关PHP速度学习视频（从初学者学习）的免费教程

如何学习PHP？ 如何开始PHP？ 我在哪里可以学习PHP？ 如何立即学习PHP？ 不用担心，这是PHP速度学习教程（向初学者学习）。需要它的朋友可以保存和下载并学习它！

下载

这几篇文章你可能也喜欢：

• 如何在Linux上搜索文件内容？ 使用GREP命令查找文件内容的10个实用提示
• 如何加密和解密访问数据库（访问数据库加密方法）
• 如何将图像上传到WordPress？ WordPress图像上传操作指南
• 一份初学者指南，以防止博客内容在WordPress中爬行
• Excel可以用作数据库

本文由主机参考刊发，转载请注明：请记住在LVS/NGINX环境（nginx LUA）中的访问控制 https://zhujicankao.com/147206.html