「お前のタイトル良く分かんねえんだけど?」

アクセスログに Cloudflare じゃなくてクライアント IP にしたい!&Cloudflare からのみアクセスしたい!

セキュリティ向上!

1. Cloudflare からプロキシされたアクセスを Nginx のアクセスログのクライント IP を正しいのにする

(正しいっていう表現は間違ってるけど!)

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2600:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2c0f:f248::/32;
set_real_ip_from 2a06:98c0::/29;
real_ip_header CF-Connecting-IP;

よくあるやつ。

2. Cloudflare からのアクセスのみ許可する

Location / {
allow 103.21.244.0/22;
deny all;
proxy_pass http://hoge;
}

これで実現はできない。
全部のアクセスが弾かれる。

これは 評価順と real_ip_header の問題で前提として real_ip_header はクライントに関する情報を CF-Connecting-IP上書きされる。
ということは allow で評価されるクライアント IP も既に Cloudflare の IP ではなく、クライアントの IP で評価されるため。

じゃあどうするかというと面倒だけど $realip_remote_addr と map を使う。

解決

  1. アクセスログ問題はそのままで OK

Cloudflare からのアクセスのみ許可する

geo $realip_remote_addr $cf {
default 0;
# IPv4
173.245.48.0/20 1;
103.21.244.0/22 1;
103.22.200.0/22 1;
103.31.4.0/22 1;
141.101.64.0/18 1;
108.162.192.0/18 1;
190.93.240.0/20 1;
188.114.96.0/20 1;
197.234.240.0/22 1;
198.41.128.0/17 1;
162.158.0.0/15 1;
104.16.0.0/12 1;
172.64.0.0/13 1;
131.0.72.0/22 1;
# IPv6
2400:cb00::/32 1;
2606:4700::/32 1;
2803:f800::/32 1;
2405:b500::/32 1;
2405:8100::/32 1;
2a06:98c0::/29 1;
2c0f:f248::/32 1;
}
location / {
if ($cf = 0)
return 403;
}
}

とすればOK

そして、この IP たちをどうやって更新していくかというと