「X-Forwarded-For」IPをブロックするリバースプロキシの後にローカルの「ファイアウォール」がありますか?

「X-Forwarded-For」IPをブロックするリバースプロキシの後にローカルの「ファイアウォール」がありますか?

この状況は非常に一般的です。私のウェブサイトのロードバランサーの後ろにCentOS + Apacheを使用しています。


この時点で、ロードバランサーへのアクセス権がないと仮定または忘れてしまいます。


現在は(私が知っている限り)そのようなIPアドレスをデフォルトでブロックする方法がないので、.htaccessIPをブロックするためにこの機能を使用しています。iptablesX-Forwarded-For

とにかく、私の現在のアプローチはうまくいきます。しかし、それでも少なくとも私のApacheは脆弱になるでしょう。

お持ちですか?firewall (良いiptables:)X-Forwarded-ForIP/接続もブロックするものは何ですか?

よろしくお願いします:)

答え1

次の iptables ルールで文字列一致を使用できます。

iptables -I name 1 -p tcp --dport 80 -m string --algo bm --string 'X-Forwarded-For: 10.1.1.1' -j DROP

関連情報