防火墙开了，如果识别反响代理传过来的IP？

btwaf防火墙开了，如果识别反响代理传过来的IP？现在外网那台开btwaf，再反向代理，无效。里面那台，又只认反向代理的那台的IP。

宝塔技术-小强 · 发表于 2020-8-31 09:52:25

开启CDN 选项。如果日志想记录真实IP 也需要设置xff

宝塔技术-小强 · 发表于 2020-8-31 09:52:51

在防火墙-->站点设置-->找到站点-->设置-->开启CDN

hahalong1991 · 发表于 2020-9-22 22:02:27

宝塔防火墙中本身有CDN设置，开启会识别请求头中信息，有安全问题。识别具体反向服务器IP，再通过提取头部转发IP，才妥当
/www/server/btwaf/httpd.lua
function get_client_ip() 最后面补充下列语句
if(client_ip=='反响代理服务器IP' and httpd.headers_in['x-forwarded-for']~= nil and httpd.headers_in['x-forwarded-for'] ~= "") then
client_ip= httpd.headers_in['x-forwarded-for'];
end

hahalong1991 · 发表于 2020-9-22 22:03:22

宝塔技术-小强发表于 2020-8-31 09:52
在防火墙-->站点设置-->找到站点-->设置-->开启CDN

看了代码，直接读取头部不安全，还需要指定反向代理的IP才合适。不然很容易伪造数据。这样防火墙就白给了。。。

宝塔技术-小强 · 发表于 2020-9-23 09:49:12

宝塔用户_wijsxh 发表于 2020-9-22 22:03
看了代码，直接读取头部不安全，还需要指定反向代理的IP才合适。不然很容易伪造数据。这样防火墙就白给了 ...

这个只能自己修改代码了。

hahalong1991 · 发表于 2020-9-23 20:49:23

上面已经给代码了哈，如果用白名单的IP判断。就变得通用了。建议加这块功能。这边可以提供代码。。。

█菠萝云买2送1活动！12G内存99元	阿里云国际低折扣多云自助平台	APP分发-无行业限制免审核	A4招租，联系qq394030111	A5招租，联系qq394030111
高防服务器，无视一切流量攻击	【阿里云】宝塔一键部署，低至5折	A8招租，联系qq394030111	【阿里云】宝塔一键部署，低至5折	OV/EV SSL证书，可当日签发
█ 易探云·香港/美国vps仅9元 █	▶CPS云◀海外大带宽vps服务器	OV/EV SSL证书，可当日签发	【云防护】专注域名和网站安全防护	A15招租，联系qq394030111