будет WAF, а на nginx в этом поле будут приходить адреса сетей WAF, а не реальных клиентов, какие могут быть последствия?
Nginx не сможет правильно определять какому клиенту что отдавать?)
Nginx будет определять в соответствии с конфигурацией. Если будет один и тот же адрес и он не будет разрешён, то nginx заблокирует запрос. Реальный адрес клиента можно получить например из заголовка запроса, конечно, если WAF добавляет такой Http заголовок. Настраивать модуль real_ip http://nginx.org/en/docs/http/ngx_http_realip_module.html
Вообще вопрос такой - можно ли силами nginx забанить весь трафик, приходящий не от WAF, без костылей. Вариант с allow/deny прокатит, если нам будет приходить в $remote_addr адрес ваф сетей. Но, как я понимаю, тогда нам надо убедиться, что нам приходит в заголовкахX-Real-IP/X-Forwarded-For от вафа адрес клиента и, что приложения на эндпойнтах нормально его обрабатывают
Что мешает проставлять waf-ом отдельный кастомный заголовок, и банить все без этого заголовка?
Вариант, но мне не понятно влияние на производительность nginx🤔
Если все клиенты с remote_addr из WAF сети то банить надо по какому-то другому признаку. Чем отличаются хороший пользователь с WAF адресом от плохого пользователя с WAF адресом?
Нене. Пришёл через ваф - молодец Пришёл мимо вафа - получи 403
Обсуждают сегодня