kong插件ip-restriction的X-Forward-For配置

最新推荐文章于 2025-02-24 20:44:49 发布
最新推荐文章于 2025-02-24 20:44:49 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: kong 文章标签: kong ip-restriction
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40027906/article/details/83651672
版权

kong配置插件ip-restriction后可以实现对ip黑白名单的限制,对应的lua源码如下。

function IpRestrictionHandler:access(conf)
  IpRestrictionHandler.super.access(self)
  local block = false
  local binary_remote_addr = ngx.var.binary_remote_addr

  if not binary_remote_addr then
    return responses.send_HTTP_FORBIDDEN("Cannot identify the client IP address, unix domain sockets are not supported.")
  end

  if conf.blacklist and #conf.blacklist > 0 then
    block = iputils.binip_in_cidrs(binary_remote_addr, cidr_cache(conf.blacklist))
  end

  if conf.whitelist and #conf.whitelist > 0 then
    block = not iputils.binip_in_cidrs(binary_remote_addr, cidr_cache(conf.whitelist))
  end

  if block then
    return responses.send_HTTP_FORBIDDEN("Your IP address is not allowed")
  end
end

这里先判断黑名单,在判断白名单,也就是说同时将一个ip配置到黑白名单中的,kong会认为他是白名单,不会对其进行限制访问。binary_remote_addr当clinet直接访问kong网关时候,binary_remote_addr是client的ip,如果kong经过nginx代理后(网关高可用,需要负载)binary_remote_addr是代理的ip,那么会有这种情况,后端服务会对一些client的ip进行限制访问时,kong就不能起到作用。

解决办法

修改kong配置文件,

  • /etc/kong/kong.conf文件,增加trusted_ips = 0.0.0.0/0,::/0 , real_ip_header = X-Forwarded-For
    在这里插入图片描述
  • 需要修改nginx配置文件,增加以下内容
			proxy_pass http://test1;
            proxy_redirect off;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Scheme $scheme;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            expires -1;

在这里插入图片描述

微服务之API网关:Kong插件介绍:认证插件ip-restriction之黑白名单
知行合一 止于至善
05-28 8350
kong目前提供了37个插件,其中商业收费7个,30个开源免费的插件,可以设定到api/服务/路由粒度上。 环境设定 操作 详细 概要与安装 https://blog.csdn.net/liumiaocn/article/details/80442222 kong路由功能 https://blog.csdn.net/liumiaocn/article...
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
3分钟教会你:浏览器永久固定X-Forwarded-For为本地IP
最新发布
kangsfcc的博客
02-24 570
(XFF)是HTTP请求头中的扩展字段,用于在客户端请求经过代理或负载均衡时,传递原始客户端的真实IP地址。例如,若请求路径为,服务器接收的XFF值会记录为127.0.0.1。
kong(openrestry) 获取 x-forwarded-forip赋值给另一个header
coin535的博客
05-26 1006
一、背景 上海lockdown的第六十几天,忘记了,still lockdown。 我们现在的业务架构是:用户->slb->kong->application, 阿里云的slb活获取用户的ip,并且塞到RemoteIp这个header里面, 后端服务是可以根据RemoteIpheader获取到用户ip的。随着对安全的重视,各种合规要求,准备接waf了。新的业务架构是:用户->waf->slb->kong->application,对于slb来说,请.
X-Forwarded-For Header-crx插件
04-02
语言:English (United States) 此扩展名使您可以快速设置X-Forwarded-For HTTP标头 此扩展允许您快速更新X-Forwarded-For,X-Originating-IP,X-Remote-IP和X-Remote-Addr HTTP标头,以进行各种测试。 变更日志:v0.6.2-修复了干扰此扩展的Firefox版本的错误v0.6.1-修复了CORS预检请求的问题v0.6.0-允许多个IP地址(以空格和/或逗号分隔),并包括次要的UI修复v0.5.0-添加了X-Originating-IP,X-Remote-IP和X-Remote-Addr作为标题选项。 新增了IPv6功能
x-forward-for:X-Forwarded-For标头浏览器扩展
01-30
x转发 X-Forwarded-For标头浏览器扩展 得到它 或
Kong插件IP Restriction
流浪的鱼的博客
01-09 635
一、什么是黑白名单 白名单就是值得信任允许访问或者允许通过验证的名单。 黑名单就是不值得信任限制访问或者不允许通过验证的名单。 二、IP Restriction介绍 IP Restrictiong是kongIP黑白名单插件,可以针对服务、路由、消费者配置黑白名单。 配置参数解读: service_id:配置在服务上 route_id:配置在路由上 consumer_id:配...
Kong系列(三)——Kong插件[IP Restriction]使用
热门推荐
战渣渣的博客
07-14 1万+
Kong 插件IP Restriction使用,使用Nginx负载均衡以及Nginx反向代理之后,对于获取真实IP地址配置时的原理以及解决方案
Web应用程序漏洞-X-Forwarded-For注入
旺仔Sec&blog
07-20 4211
第二十八步,重新审阅刚刚获取os-shell时的日志,发现sqlmap在网站根目录下放置了一个tmpunjoh.php文件(文件名为随机,请注意),可以用于手动上传文件。可以看到,我们从X-Forwarded-For定义的内容,未经过筛选就执行了SQL语句用于查询该IP地址是否在白名单之内,且。第五步,一分钟后扫描结束,切换至Results标签页,可以看到/admin目录被扫描出来,推测该目录为管理员后台地址。第十六步,在BurpSuite中将X-Forwarded-For的值改为一个单引号(’)尝试。
kongIP RESTRICTION配置
u012821124的博客
12-08 2936
KongIP RESTRICTION就是IP控制插件,可以控制全局、服务、路由、消费方的IP地址,通过设置黑白名单,来限制访问的IPIP段。IP或CIDR范围到白名单的逗号分隔列表。必须在白名单或黑名单之间至少指定一个。 1、 如果配置了白名单,则白名单之外的IP都不允许访问。 2、 如果配置了黑名单,则黑名单之外的IP都允许访问。 3、 如果同时配置了黑白名单,则只允许白名单的访问。 我们将该插件配置到test-service服务上,并设置限制黑名单的IP地址为调用服务的IP。 上图我们看一下,业
kong系列十】之IP黑白名单ip-restriction限制插件
Java高手真经
08-18 6467
IP限制插件 IP限制插件,是一个非常简单的插件,可以设置黑名单IP,白名单IP这个很简单。 规则: IP黑白名单,支持单个,多个,范围分段IP(满足CIDR notation规则)。多个IP之间用逗号,分隔。 CIDR notation规范如下: 10.10.10.0/24 表示10.10.10.*的都不能访问。
X-Forwarded-For的神奇使用方法
分享博主日常学习和使用的一些技术
03-21 966
不知道为什么,有些网站是单纯的通过X-Forwarded-For进行ip校验的,这个是就可以对每个请求增加X-Forwarded-For以及对应的ip,从而绕过ip限制机制。可能是直接从tcp流中获取ip的,这样的话就很难了。
X-Forwarded-For伪造及防御
weixin_30564785的博客
03-21 1750
使用x-Forward_for插件或者burpsuit可以改包,伪造任意的IP地址,使一些管理员后台绕过对IP地址限制的访问。 防护策略: 1.对于直接使用的 Web 应用,必须使用从TCP连接中得到的 Remote Address,才是用户真实的IP; 2.对于使用 nginx 反向代理服务器的Web应用,nginx必须使用Remote Address正确配置set Headers,后端服务器则...
通过修改kong属性解决不能获取外网域名的问题
clever101的专栏
08-20 1822
作者:朱金灿 来源:https://blog.csdn.net/clever101 kong就是对nginx进行再一次封装而做成的企业级api网关。kong-dashboard是kong进行设置的一个可视化界面。目前公司的服务集群都采用kong-dashboard进行管理。最近在在服务集群上新部署了二级网站,后端使用java编写。发现在公司内部网内可以访问这个网站,但是外...
Why the browser on macOS system can penetrate the Whitelist IP Restriction of Kong on CentOS7 system
zhengzizhi的专栏
05-15 860
My Testing Environment : VMware® Workstation 12 Pro on Windows 10 64 bit (192.168.43.131) 192.168.10.10 CentOS 7.2 PHP MySQL --- Restful api data interface 192.168.10.50 macOS 10.12.6 --- ...
【API网关】Kong安装和基本操作
Jzin的博客
02-28 3345
Kong是一个开源的API网关和微服务管理平台,它提供了一系列的工具和技术来管理和监控分布式应用程序中的API。Kong被设计为一个高度可扩展的平台,它提供了一系列的核心功能,**例如API路由、认证、流量控制、日志记录、监控、插件等等**。
Kong 系列【六】添加插件---ip-restriction之黑白名单
weixin_40027906的博客
10-29 1046
写在前边 本地postMan请求http://192.168.130.131:8000/test-route,可以正常访问,本地IP:192.168.130.1 同样在虚拟机环境192.168.130.129也可以正常访问。 添加ip-restriction插件 将129添加到blacklist,在分别进行访问。本地可以访问,129提示IP address is not allowed. ...
Kong获取用户真实ip
qq_24509229的博客
07-26 2689
Kong获取真实ip 在前后端分离架构中,前端使用nginx作为静态页面服务器以及转发ajax请求,所以Kong不是与用户直接相连的服务器。一个tcp socket连接的四元组包括源ip,源端口,目的ip,目的端口,一个tcp连接只能拿到直接相连的源ip地址。对于一个nginx服务器,如果请求到达该服务器时,中间经过多层反向代理,则无法直接获取客户的真实ip地址。而拿到用户的真实ip地址,是基于ip地址来实现限速,限流,拉黑,负载均衡,数据分析等功能的基础。 涉及知识点: nginx变量$remote
火狐浏览器一些实用插件
he1721360028的博客
01-02 1699
1.user-agent switcher 此插件可以模仿其他系统的火狐浏览器,其他浏览器 2.flagfox 此插件可以显示访问该网页的服务器在哪个国家 3.wappalyzer 识别网站上的软件。 4.web developer Web开发人员扩展将各种Web开发人员工具添加到浏览器中。 5.x-forwarded-for header ...
创建一个名为 pod-restriction 的 networkpolicy
09-22
创建一个名为 pod-restriction 的 networkpolicy,可以通过以下步骤完成: 1. 进入容器编排工具(如Kubernetes)所在的控制平台或管理系统。 2. 打开命令行终端,输入以下命令创建一个名称为 pod-restriction 的 NetworkPolicy 对象: ``` kubectl create -f pod-restriction.yaml ``` 3. 创建一个 pod-restriction.yaml 文件,并在文件中定义所需的网络策略规则。以下是一个示例 pod-restriction.yaml 文件的模板内容: ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: pod-restriction spec: podSelector: matchLabels: app: your-app-label policyTypes: - Ingress - Egress ingress: - from: - podSelector: matchLabels: role: front-end ports: - protocol: TCP port: 80 egress: - to: - podSelector: matchLabels: app: database ports: - protocol: TCP port: 5432 ``` 请根据自己的实际需求修改模板中的标签、端口和协议。上述示例中的规则将只允许具有标签 app: your-app-label 的前端 pod 通过 TCP 80 端口访问网络,并且只允许与标签 app: database 的数据库 pod 通过 TCP 5432 端口通信。 4. 保存并关闭 pod-restriction.yaml 文件。 5. 在命令行终端中运行创建 NetworkPolicy 对象的命令。执行成功后,将创建一个名为 pod-restriction 的 NetworkPolicy,并根据定义的规则限制 pod 之间的网络通信。 以上是创建一个名为 pod-restriction 的 networkpolicy 的步骤和操作流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值