Nginx 检查 Cloudflare 是转发还是直接 IP 并相应限制

Posted

技术标签:

【中文标题】Nginx 检查 Cloudflare 是转发还是直接 IP 并相应限制【英文标题】:Nginx check if Cloudflare forward or direct IP and limit accordingly 【发布时间】:2021-06-15 22:03:48 【问题描述】:

我知道标题CF-Connecting-IP$binary_remote_addrhttp_x_forwarded_for

我要进行设置:

limit_req_zone $http_x_forwarded_for zone=k_request_limit_per_ip:10m rate=400r/s;
limit_conn_zone $http_x_forwarded_for zone=k_connection_limit_per_ip:10m;

但是 Cloudflare 并不是这台机器将被访问的唯一地方,所以我也想限制直接访问。 有没有办法写出类似的东西:

if(header == `X-Forwarded-For`) 
  limit_req_zone $http_x_forwarded_for zone=k_request_limit_per_ip:10m rate=400r/s;
 else 
  limit_req_zone $binary_remote_addr zone=k_request_limit_per_ip:10m rate=400r/s;

或者像这样的工作:

  limit_req_zone $http_x_forwarded_for zone=http_zone:10m rate=400r/s;
  limit_req_zone $binary_remote_addr zone=binary_zone:10m rate=400r/s;

另一种方法是完全允许所有 Cloudflare IP 地址。并限制非 Cloudflare IP 地址。

好消息来源:

nginx rate limiting doesn't work when using Cloudflare. I can bring down my site with a simple `ab` command

【问题讨论】:

您是否尝试过为此使用map?您可以使用映射来定义 limit-req-zone 变量并在您的 limit_req_zone 中使用它。 njsjs_set 确实根据给定的输入定义正确的req_zone。 我不熟悉那些techs。所以我没有尝试过它们。有可能的解决方案吗? 【参考方案1】:

您可以使用 ngx_real_ip_module。 http://nginx.org/en/docs/http/ngx_http_realip_module.html

通过此选项,您可以指定 Cloudflare CIDR 允许使用来自 X-Forwarded-For 的值覆盖 binary_remote_addr。确保你有这个检查。配置可能如下所示:

set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2a06:98c0::/29;
set_real_ip_from 2c0f:f248::/32;
real_ip_header X-Forwarded-For;
real_ip_recursive off;

Cloudflare IP 可以更改,此命令会自动更新为cloudflare_ips.conf

cat /dev/null > cloudflare_ips.conf && curl -s https://www.cloudflare.com/ips-v4 | while read ip; do echo "set_real_ip_from $ip;" >> cloudflare_ips.conf; done && curl -s https://www.cloudflare.com/ips-v6 | while read ip; do echo "set_real_ip_from $ip;" >> cloudflare_ips.conf; done && printf "real_ip_header X-Forwarded-For;\nreal_ip_recursive off;\n" >> cloudflare_ips.conf

您的速率限制配置可以使用binary_remote_addr 变量。如果客户端是通过 cloudflare 来的,CFs IP 将被替换为来自 Header 的 IP。如果客户端直接连接,将使用客户端 IP。如果客户端尝试发送 X-Forwarded-For 标头,该标头将不会被接受,因为客户端 IP 与您的 cloudflare_ips.conf 文件中的任何 CIDR 都不匹配。

【讨论】:

以上是关于Nginx 检查 Cloudflare 是转发还是直接 IP 并相应限制的主要内容,如果未能解决你的问题,请参考以下文章

Cloudflare 不转发 ETag 标头?

使用 Google Domains 和 Cloudflare 时转发电子邮件 [关闭]

nginx转发https配置不检查证书

nginx、aws 和 cloudflare 的 cors 问题

在 https:// 中设置默认 Wordpress 并将其重定向到 http:// 并在 Cloudflare 中将 http:// 转发到 https://

Cloudflare Nginx优化成果:每天为互联网节约54年