Azure Front Door - 403 Forbidden if there are IP Allow entries in the web app Network Restrictions L

Posted 2023-02-19

【中文标题】Azure Front Door - 403 Forbidden if there are IP Allow entries in the web app Network Restrictions List

【英文标题】：

【发布时间】：2020-07-14 15:01:02

【问题描述】：

我一直在与 Azure 支持工程师一起尝试解决这个问题，但他无法确定问题所在，所以我希望这里有人遇到过这种情况：

我们已经设置了我们的第一个 Azure 前门 - 此阶段的配置非常简单 - 后端池仅包含我们的一个 Web 应用程序（Azure 应用程序服务）和一个仅转发来自Web 应用 URL 的前门 URL。

问题：我们发送的每个请求都提供了 403 禁止错误。

我做了什么并确定了：

Azure Web 应用设置了网络安全限制，仅允许特定 IP 地址访问 URL。我的 IP 地址是列表的一部分，如果我直接访问 Web 应用程序 URL，一切都会按预期工作。如果我尝试访问 Front Door URL，则会收到 403 Forbidden 错误。

作为测试，我设置了第二个没有 IP 限制的 Azure Web 应用，并将其添加到 Front Door 的后端池中。我可以毫无问题地通过前门访问该站点。但是，只要我在网络限制列表中添加了一个允许条目（在本例中是我的 IP 地址），我在转到 Front Door URL 时就会收到 403 错误。

作为另一项测试，我什至将 0.0.0.0 添加到 IP 限制列表以允许全部 - 即使这样，尝试访问前门 URL 时仍然收到 403 错误。在所有测试用例中，我都可以直接访问 Web 应用 URL 而不会出现任何错误。

我还完全禁用了 Front Door WAF，以确保其中没有任何内容导致 403 错误。同样的事情 - 403 无论如何点击前门 URL。

最后 - 我在每次测试之间对 Front Door 缓存进行清除，以确保没有任何东西被捕获。

这似乎是 Front Door 和在 IP 限制中有任何条目的 Web 应用程序可能存在的错误？这对我来说会非常令人困惑，因为我们不能指望让我们的非面向公众的网络应用程序 URL 在没有 IP 限制的情况下对网络开放？有没有人遇到过并解决了这个问题？

编辑 1：Azure 支持工程师为我提供了 Front Door 服务的 IP 地址，以将其添加到 Web 应用的允许列表中。我添加了，但仍然没有运气 - 只有 403。似乎如果该网络限制列表中有 任何内容，Front Door 将无法按预期工作。

编辑 2：似乎我的 Allow All 条目不正确 - 我将其设置为 0.0.0.0/32。将其更改为 0.0.0.0/0 后，我可以通过 Front Door 访问 Web 应用程序。因此，我对列表中的任何条目（包括 Allow All 导致 403 错误）的初步评估是不正确的。正确的评估是列表other中的任何条目而不是 0.0.0.0（甚至是我自己的 IP 地址）都会导致 403 错误。所以主要问题仍然存在 - 我们如何通过 IP 限制保护我们的 Web 应用程序并仍然使用 Azure Front Door？

【参考方案1】：

Azure Frontdoor 将充当反向代理，这意味着世界各地的 POP 服务器 IP 需要在您的 Web 应用网络限制中列入白名单。

它记录在常见问题解答部分here。

由于POP服务器有多台，需要将所有POP服务器的IP都加入白名单，然后尝试访问测试。

您还可以将 SR # 分享给我，以便我查看您提出的支持票。

【讨论】：

您好，感谢您的回答。最终，支持工程师最近向我提供了相同的信息，这解决了问题。谢谢！

@Stpete111 是否可以为您的配置提供屏幕截图？我在同一条船上，但它仍然无法正常工作，我不确定我是否缺少细节？

@A.Wentzel 嗨，不幸的是，我们最终放弃了 Front Door，因为它不符合我们的需求。我们无法解决的主要问题是 4 分钟的最大连接超时，并且自定义域转发的功能非常有限。

我在解决这个问题的过程中的一些额外细节。 ***.com/questions/62461510/…