haproxy之ACL

最新推荐文章于 2022-12-07 22:48:18 发布
最新推荐文章于 2022-12-07 22:48:18 发布
阅读量443 收藏 1
点赞数
分类专栏: haproxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdirdo/article/details/102933925
版权

haproxy之ACL

haproxy的ACL简介

1)访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,允许其通过或丢弃。

2)参考:http://cbonte.github.io/haproxy-dconv/2.0/configuration.html#7

ACL配置选项

acl   <aclname> <criterion>   [flags]     [operator]   [<value>]
acl     名称     匹配规范     匹配模式     具体操作符     操作对象类型


示例:
acl   image_service hdr_dom(host)   -i   img.root4578.com

  • ACL-Name:ACL名称,可以使用大字母A-Z、小写字母a-z、数字0-9、冒号:、点.、中横线和下划线,并且严格区分大小写,必须Image_site和image_site完全是两个acl。

  • ACL-criterion:定义ACL匹配规范

hdr([<name> [,<occ>]]):完全匹配字符串
hdr_beg([<name> [,<occ>]]):前缀匹配
hdr_dir([<name> [,<occ>]]):路径匹配
hdr_dom([<name> [,<occ>]]):域匹配
hdr_end([<name> [,<occ>]]):后缀匹配
hdr_len([<name> [,<occ>]]):长度匹配
hdr_reg([<name> [,<occ>]]):正则表达式匹配
hdr_sub([<name> [,<occ>]]):子串匹配

dst 目标IP
dst_port   目标PORT
src   源IP
src_port 源PORT

  • ACL-flags:ACL匹配模式
    -i 不区分大小写
    -m 使用指定的pattern匹配方法
    -n 不做DNS解析
    -u 禁止acl重名,否则多个同名ACL匹配或关系

  • ACL-operator:ACL 操作符

    • 整数比较:eq、ge、gt、le、lt

    • 字符比较:
      exact match (-m str) :字符串必须完全匹配模式
      substring match (-m sub) :在提取的字符串中查找模式,如果其中任何一个被发现,ACL将匹配
      prefix match (-m beg) :在提取的字符串首部中查找模式,如果其中任何一个被发现,ACL将匹配
      suffix match (-m end) :将模式与提取字符串的尾部进行比较,如果其中任何一个匹配,则ACL进行匹配
      subdir match (-m dir) :查看提取出来的用斜线分隔(“/”)的字符串,如果其中任何一个匹配,则ACL进行匹配
      domain match (-m dom) :查找提取的用点(“.”)分隔字符串,如果其中任何一个匹配,则ACL进行匹配

  • ACL-value:value的类型

    • Boolean #布尔值
    • integer or integer range #整数或整数范围,比如用于匹配端口范围
    • IP address / network #IP地址或IP范围, 192.168.0.1 ,192.168.0.1/24
    • string
      exact –精确比较
      substring—子串 www.root4578.com
      suffix-后缀比较
      prefix-前缀比较
      subdir-路径, /wp-includes/js/jquery/jquery.js
      domain-域名,www.root4578.com
    • regular expression #正则表达式
    • hex block #16进制

ACL调用方式:

  • 与:隐式(默认)使用
  • 或:使用“or” 或 “||”表示
  • 否定:使用“!“ 表示

ACL的使用场景

  • ①公网地址较少,域名需要共用某个公网IP地址
  • ②内网使用,预发布环境和测试环境(提供一个环境,做与用户行为一致的访问)
  • ③机房搬迁时,使用七层代理作为临时使用。

ACL示例-域名匹配:

  • ACL域名匹配有可能使用(其他ACL示例此处不总结了),其他的操作一般在nginx上面实现(动静分离、浏览器版本不同访问的资源不同、访问控制、全栈https等)

  • 动静分离、浏览器版本不同访问的资源不同、访问控制、全栈https在haproxy上面均能实现,但是一般在后端服务器nginx上面实现,haproxy一般作为四层负载均衡服务器即可。

  • 实验规划:实现pc端和mobile端调度至不同的服务器
    haproxy:192.168.38.27
    URI:http:www.root4578.com ==>为pc端域名,调度至192.168.38.17
    URI:http:mobile.root4578.com ==>为mobile端域名,调度至192.168.38.37

  • haproxy配置:

[root@centos7-27 ~# cat /etc/haproxy/conf/acl-pc-mobile.cfg 
frontend pc_mobile_test
  bind 192.168.38.27:80,192.168.38.27:81
  mode http
  balance roundrobin
############acl setting############################################
  acl pc_page hdr_dom(host)      -i www.root4578.com
  acl mobile_page hdr_dom(host)	 -i mobile.root4578.com
#############acl  hosts############################################
  use_backend pc_page_hosts       if pc_page
  use_backend mobile_page_hosts   if  mobile_page

#############backend hosts#########################################
backend pc_page_hosts 
  mode http
  server 192.168.38.17 192.168.38.17:80 check inter 2 fall 3 rise 5

backend mobile_page_hosts
  mode http
  server 192.168.38.37 192.168.38.37:80 check inter 2 fall 3 rise 5
  • 测试主机:192.168.38.87
①写hosts:
192.168.38.27  www.root4578.com  mobile.root4578.com


②curl命令测试:
[root@centos7-87 error]# curl http://www.root4578.com
web1 192.168.38.17 page
[root@centos7-87 error]# curl http://mobile.root4578.com
web2 192.168.38.37 page
  • haproxy状态页:
Hskds
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HAProxy配置文件详解和ACL功能.docx
06-27
haproxy几乎每个大版本都提供了官方手册(内容几乎都相同),手册非常详细。proxy的灵魂在于配置文件,配置文件重点在于前端(frontend)和后端(backend)的定制。全局选项(global)的配置将默认提供的稍微修改下即可。可以使用haproxy命令行检查配置文件语法是否正确。
HAProxy配置文件详解和ACL功能
u011119684的博客
01-15 1049
转:https://www.linuxidc.com/Linux/2018-03/151169.htm 本文目录: 1.1 配置文件说明 1.2 简单配置示例 1.3 全局配置参数 1.4. proxy配置段和常用配置选项  1.4.1 http事务模型相关设置  1.4.2 balance  1.4.3 hash-type  1.4.4 bind  1.4.5 mode  1.4.6 log ...
Haproxy中的acl的详解
vanexph的博客
06-15 3510
haproxy 能够从请求报文,响应报文,从客户端或者服务器端,从表,环境信息等中提取数据,提取这样的数据的动作我们称之为获取样本,进行检索时,这些样本可以用来实现各种目的,比如作为粘滞表的键,最常用的用途是,根据预定义的模式来进行匹配。访问控制列表(ACL)提供一个灵活方案进行内容切换,或者从请求,响应,任何环境状态中提取的数据基础之上做出决策,控制列表的原则很简单: 从数据流,表,环境中提取数据样本 对提取的样本可选的应用格式转换 对一个样本应用一个或多个模式匹配 当模式匹配样本时才执行动作 执行的动
HaproxyACL配置及案例
NancyLCL的博客
10-22 1698
配置解析:1. 如果访问的请求的URL路径的后缀名为" .jpg .jpeg .png .gif .html ",就匹配名为" static_page "的acl规则,如果条件成立,则调用名为" static_host "的后端配置,即静态配置。2. 如果访问的请求的URL路径的后缀名为" .php ",就匹配名为" update_page "的acl规则,如果条件成立,则调用名为" update_host "的后端配置,即动态配置。
haproxyACL详解
yurun_house的博客
06-16 930
一:haproxyACL概述 haproxyACL用于实现基于请求报文的首部,响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性 其配置法则通常分为两步,首先去定义ACL即定义一个测试条件而后条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端 二:ACL的语法格式及参数详解 acl <aclname> <criterion> [flags] [operator] <value> <aclname>: ACL 名称,区别
haproxy ACL
qq_36801585的博客
03-31 797
haproxy ACL ​ 访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,允许其通过或丢弃。 文档 1. ACL配置选项 acl ...
HAProxy用法详解.pdf
09-08
3. frontend:接受请求的前端虚拟节点,可以根据ACL规则直接指定要使用的后端backend。 4. backend:提供服务的后端节点,可以是web服务器、数据库服务器等。 5. listen:_frontend和backend的组合体,用于定义服务...
haproxy 1.8
04-24
- **ACL(访问控制列表)改进**:增加了更多的条件判断和操作,如字符串匹配、正则表达式支持,使得ACL规则更加精细。 **3. 性能提升** - **更快的处理速度**:通过优化内部算法和数据结构,HAProxy 1.8在处理高...
ubuntu haproxy安装与配置详解
06-07
HAProxyACL(Access Control Lists)功能允许基于特定条件对请求进行过滤和路由。例如,你可以根据HTTP请求的URL、Host头或特定查询参数来决定流量流向哪个后端服务器。ACL规则可以与其他选项结合使用,如`use_...
haproxy1.5.9
09-20
安全性是Haproxy的核心关注点之一。在1.5.9版本中,它支持SSL/TLS协议,可以进行加密通信,保护用户数据的安全。同时,通过配置可限制只接受特定版本的TLS协议,抵御已知的安全漏洞。此外,还可以设置速率限制和连接...
haproxyACL规则
w20010106的博客
01-08 6940
haproxy支持ACL规则 ,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需求进行不同的策略转发响应。 可以通过ACL规则完成以下两种主要功能: 1、通过设置ACL规则来检查客户端请求是否符合规则,将不符合规则要求的请求直接中断; 2、符合ACL规则的请求由backend指定的后端服务器池执行基于ACL规则的负载均衡,不符合的可...
HAProxy-acl
staight的博客
04-06 681
前言 aclHAProxy中的一大项,它用于实现基于请求报文的首部,响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性 语法 acl &lt; aclname&gt; &lt; criterion&gt; [flags] [operator] [&lt; value&gt;] … &lt; aclname&gt; ACL名称,区分字符大小写,且其只能包含大小...
ACL入门指南:如何使用它轻松保护网络安全
weixin_43263566的博客
12-07 5772
ACL包过滤技术
ACL(访问控制列表)介绍及相关配置
whoim_i的博客
12-21 4837
目录介绍相关配置案例一:拒绝学生宿舍访问财务室网络。案例二:拒绝学生宿舍访问www服务。案例三:拒绝学生宿舍ping服务器,但可以访问网站。案例四:学生宿舍不可以ping服务器,不能用www.gxa.com访问网站,但可以用地址访问网站。案例五:服务器提供DNS/WEB/FTP(tcp/20、12端口)服务基于时间的ACL相关配置步骤 介绍 访问控制列表简称ACL,它使用包过滤技术,在路由器上读取...
HAproxy配置(三)--ACL
xiaochenwj1995的博客
05-07 525
一、 HAproxyacl简介 访问控制列表(ACL)的使用提供了一种灵活的解决方案,可以执行内容切换,并且通常根据从请求,响应或任何环境状态中提取的内容来做出决定。 acl <aclname> <criterion> [flags] [operator] [<value>] ... <aclname>:ACL names must be f...
HAProxy常用配置介绍,ACL详解
wolf
07-14 3728
1、HAProxy简介 HAProxy 是一款高性能TCP/HTTP 反向代理负载均衡服务器,具有如下功能: 根据静态分配的cookies完成HTTP请求转发 在多个服务器间实现负载均衡,并且根据HTTP cookies 实现会话粘性 主备服务器切换 接受访问特定端口实现服务监控 实现平滑关闭服务,不中断已建立连接的请求响应,拒绝新的请求 在请求或响应
Linux运维之HAProxy实现负载均衡(日志、监控、acl访问控制的配置)
qq_41830712的博客
04-23 597
一、haproxy是什么? HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。 HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。 HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器...
HAProxy7层模型下强大的ACL规则用法
Jecci
07-28 1755
关于HAProxy的简单负载大家都有所了解,本次文章给大家介绍一些基于7层负载的acl控制方法 同理,贴出全文配置# # demo config for Proxy mode # global maxconn 20000 #设定HAProxy进程可接受的最大并发数 ulimit-n 41000 #linux命令行选项,等同于上参数 log
HaproxyACL 规则及实战案例
Xucf1
01-24 4852
文章目录一、ACL 规则1.概述2.主要功能3.语法二、Haproxy 实现智能负载均衡1.实验环境2.配置 Apache 服务器3.基于地址的访问控制4.基于访问文件的控制与重定向5.实现动静分离功能的智能负载均衡 一、ACL 规则 1.概述 比起使用 LVS 做负载均衡,Haproxy 能提供更加强大的功能 因为 Haproxy 支持 ACL 规则,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需要进行不同的策略转发响应 2.主要功
haproxy acl
最新发布
08-09
回答: HAProxy中的ACL(Access Control List)是用于根据请求报文的首部、响应报文的内容或其他环境状态信息来做出转发决策的工具。ACL可以定义一个测试条件,当条件满足时执行特定的动作,如阻止请求或转发到特定的后端。123 #### 引用[.reference_title] - *1* [haproxyACL详解](https://blog.csdn.net/yurun_house/article/details/106788194)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *2* *3* [Haproxy中的acl的详解](https://blog.csdn.net/vanexph/article/details/106755856)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值