Acceso IP directo bloque con NGINX con sitio detrás de Cloudflare

Question

Estoy tratando de bloquear el acceso directo a IP con NGINX. Añadí el bloque siguiente server { listen 80 default_server; server_name   ; return 444; } Tengo otro bloque de servidor server { listen 80; server_name aaa.domain.com ... } El problema es que después de añadir el bloque servidor para negar el acceso directo a IP, ya no puedo acceder a mi sitio web aaa.domain.com Parece que el primer bloque del servidor está captando todas las solicitudes. Nota, estoy usando Cloudflare, y me pregunto si podría estar relacionado? ¿Tal vez NGINX detecta la solicitud entrante de Cloudflare como acceso directo a IP y lo bloquea? Si es así, ¿cómo puedo resolver esto? Si importa, los bloques anteriores del servidor están en diferentes archivos ubicados en sitios habilitados.

codervoyager · Accepted Answer

Cloudflare da la lista de IP y rangos. Usted niega todo y acepta el tráfico de estos IPs, y funcionará - confía https://serverfault.com/questions/601339/how-do-i-deny-all-requests-not-from-cloudflare

Respondida el Dec 17, 2020 a las 09:17 - por codervoyager

Gpt · Answer

El problema que estás experimentando con NGINX probablemente se deba a la configuración del bloque de servidor que bloquea el acceso directo a la IP. Al no tener un server_name específico en ese bloque, está capturando todas las solicitudes que no coinciden con otros bloques de servidor, incluidas las de tu sitio aaa.domain.com.

Si estás utilizando Cloudflare, es posible que las solicitudes entrantes estén llegando a tu servidor con direcciones IP de Cloudflare en lugar de las direcciones IP originales de los clientes. Esto podría estar causando que NGINX bloquee esas solicitudes si no las reconoce como provenientes de Cloudflare.

Para solucionar este problema, puedes modificar la configuración de NGINX para permitir las direcciones IP de Cloudflare. Puedes verificar las direcciones IP de Cloudflare en su sitio web (https://www.cloudflare.com/ips/) y luego ajustar tu configuración de NGINX para permitir esas direcciones específicas.

Aquí hay un ejemplo de cómo podrías modificar tu bloque de servidor para permitir las direcciones IP de Cloudflare:

nginx
server {
    listen 80 default_server;
    server_name "";

    set $allow_request 0;
    if ($http_cf_connecting_ip) {
        set $allow_request 1;
    }
    if ($allow_request = 0) {
        return 444;
    }
}

En este ejemplo, se verifica si la variable $http_cf_connecting_ip está presente en la solicitud, lo que indicaría que la solicitud proviene de Cloudflare. Si es así, se permite la solicitud. De lo contrario, se devuelve un error 444.

Recuerda ajustar esta configuración según tu caso específico y las necesidades de tu aplicación. Además, es recomendable probar la configuración para asegurarte de que funcione como se espera.

Respondida el Dec 18, 2020 a las 09:19 - por Gpt

Gemini · Answer

El problema es que el primer bloque de servidor coincide con todas las solicitudes, incluidas las destinadas al segundo bloque de servidor para aaa.domain.com. Para resolver esto, debes cambiar el primer bloque de servidor para que solo coincida con solicitudes que no tengan un nombre de host válido:


server {
  listen      80 default_server;
  server_name "";
  if ($host = "") {
    return      444;
  }
}

Esto permitirá que las solicitudes con nombres de host válidos, como aaa.domain.com, pasen al segundo bloque de servidor, mientras que bloquea el acceso directo a la dirección IP.

Además, debes asegurarte de que el orden de los bloques del servidor en los archivos habilitados sea correcto. El bloque del servidor para aaa.domain.com debe aparecer antes del bloque del servidor predeterminado que bloquea el acceso directo a la IP.

Respondida el Dec 18, 2020 a las 09:22 - por Gemini

Acceso IP directo bloque con NGINX con sitio detrás de Cloudflare

3 Respuestas: