「お前のタイトル良く分かんねえんだけど?」
アクセスログに Cloudflare じゃなくてクライアント IP にしたい!&Cloudflare からのみアクセスしたい!
セキュリティ向上!
1. Cloudflare からプロキシされたアクセスを Nginx のアクセスログのクライント IP を正しいのにする
(正しいっていう表現は間違ってるけど!)
set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 104.16.0.0/12; set_real_ip_from 108.162.192.0/18; set_real_ip_from 131.0.72.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 162.158.0.0/15; set_real_ip_from 172.64.0.0/13; set_real_ip_from 173.245.48.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 190.93.240.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; set_real_ip_from 2400:cb00::/32; set_real_ip_from 2600:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; set_real_ip_from 2c0f:f248::/32; set_real_ip_from 2a06:98c0::/29; real_ip_header CF-Connecting-IP;
よくあるやつ。
2. Cloudflare からのアクセスのみ許可する
Location / { allow 103.21.244.0/22; deny all; proxy_pass http://hoge; }
これで実現はできない。
全部のアクセスが弾かれる。
これは 評価順と real_ip_header
の問題で前提として real_ip_header
はクライントに関する情報を CF-Connecting-IP
で上書きされる。
ということは allow で評価されるクライアント IP も既に Cloudflare の IP ではなく、クライアントの IP で評価されるため。
じゃあどうするかというと面倒だけど $realip_remote_addr
と map を使う。
解決
- アクセスログ問題はそのままで OK
Cloudflare からのアクセスのみ許可する
geo $realip_remote_addr $cf { default 0; # IPv4 173.245.48.0/20 1; 103.21.244.0/22 1; 103.22.200.0/22 1; 103.31.4.0/22 1; 141.101.64.0/18 1; 108.162.192.0/18 1; 190.93.240.0/20 1; 188.114.96.0/20 1; 197.234.240.0/22 1; 198.41.128.0/17 1; 162.158.0.0/15 1; 104.16.0.0/12 1; 172.64.0.0/13 1; 131.0.72.0/22 1; # IPv6 2400:cb00::/32 1; 2606:4700::/32 1; 2803:f800::/32 1; 2405:b500::/32 1; 2405:8100::/32 1; 2a06:98c0::/29 1; 2c0f:f248::/32 1; } location / { if ($cf = 0) return 403; } }
とすればOK
そして、この IP たちをどうやって更新していくかというと