Skip to main content
Skip table of contents

nginx: IP-basierte Zugriffskontrolllisten

Quell-IPs von UDP können gefälscht werden, da das Protokoll verbindungslos ist. Wenn es einen Angreifer gibt, der Ihr WAN manipulieren kann, kann der Angreifer auch jede WAN-IP verwenden, die auf der Whitelist steht. Es ist sicherer, dies nicht als einzigen Schutz für Ihre Webservices zu verwenden.

Hintergrundinformationen

IP-basierte ACLs können extern verwendet werden, um den Zugriff (Whitelist-Strategie) auf einen bestimmten Webdienst nur für Kunden zuzulassen, so dass Sie den größten Teil des bösartigen Datenverkehrs zum Anwendungsserver leicht loswerden können. Dies hat auch einige Nachteile: Zum Beispiel wird die Seite wahrscheinlich für Suchmaschinen nicht sichtbar sein und daher nicht indiziert werden. Andererseits können Sie auch einige Bot-IPs und einige Bulletproof-Hosting-Bereiche auf eine Blacklist setzen (Blacklist-Strategie).

Konfiguration

Benutzer erstellen

Navigieren Sie zur Registerkarte Zugang ‣ IP ACL.


Klicken Sie auf die Schaltfläche (+), um eine neue ACL zu erstellen.

Als nächstes geben Sie einen sinnvollen Titel ein, hier wurde z. B. „Private IPs zulassen“ verwendet. Nun können die verschiedenen IP-Adressen oder IP-Bereiche eingegeben werden. In diesem Fall wurden einige gängige private IP-Bereiche zugelassen und die Standardregel auf blockieren gesetzt. Durch Klicken auf das +-Symbol kann eine neue Zeile hinzugefügt werden, während das Mülleimer-Symbol die Zeile löscht. Dies bedeutet, dass dieser Dienst nur intern sichtbar sein soll.


Beachten Sie, dass Carrier Grade NAT (CGN) auch bei diesen ACLs zu Problemen führen kann. Bitte prüfen Sie zunächst, wie Ihr Datenverkehr gehandhabt wird.

Zuweisung zu einem Standort, HTTP- oder Stream-Server

Im letzten Schritt muss die Benutzerliste zu dem Objekt hinzugefügt werden, das sie unterstützt. Im Moment sind dies der HTTP-Server, der Stream-Server und die HTTP-Standorte. Um z. B. die ACL zu einem Standort hinzuzufügen, öffnen Sie diesen und wählen Sie die ACL im Dropdown-Menü aus:

Nachdem Sie den Speicherort gespeichert und nginx neu gestartet haben, sind Sie fertig.


JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close