OpenLiteSpeed е високопроизводителен уеб сървър с отворен код, разработен от LiteSpeed Technologies. Той е проектиран да осигурява бърза и ефективна обработка на уеб заявки и може да се използва за хостинг на динамични и статични уеб приложения. В тази статия ще разгледаме защо е важно да се показва истинският IP адрес на посетителите в OpenLiteSpeed и как да го направим.
Защо е важно.
Показването на реалния IP адрес на посетителите в OpenLiteSpeed е важно по няколко причини:
- Сигурност. Като знаят реалния IP адрес, администраторите могат по-добре да проследяват подозрителна дейност и да предотвратяват атаки, като например DDoS или опити за хакерство.
- Анализ. Можете по-точно да анализирате трафика на сайта, да определите географското местоположение на потребителите и да разберете откъде идва трафикът.
- Дневници. Реалните IP адреси се съхраняват в логовете на сървъра, което улеснява диагностицирането на проблеми и анализа на производителността
- Конфигуриране на достъпа. Администраторите могат да конфигурират правила за достъп до ресурсите на сайта въз основа на IP адреси, като блокират или разрешават достъпа на определени потребители.
- Кеширане. Някои механизми за кеширане могат да работят по-добре, ако сървърът знае истинския IP адрес на клиента, което може да подобри производителността.
Това е важно и за информацията за контрол на достъпа за конкретни IP адреси и за анализ на трафика при използване на прокси сървър, като Cloudflare или DDoS-GUARD. За да се показва правилно реалният IP адрес, прокси сървърите и балансьорите на натоварване, ако се използват в инфраструктурата, трябва да са конфигурирани правилно.
Инструкции за конфигуриране
Уеб интерфейсът на уеб сървъра OpenLiteSpeed не е достъпен при използване на ispmanager 6, можете да промените стойността на опцията "Use Client IP in Header" (Използвай клиентски IP в заглавието) само ръчно в конфигурационния файл "/usr/local/lsws/conf/httpd-config.conf". опцията "Use Client IP in Header" (Използвай клиентски IP в заглавието) съответства на директивата "useIpInProxyHeader" и по подразбиране отсъства в стандартната конфигурация при работа с ispmanager 6.
mime conf/mime.properties
showVersionNumber 0
useIpInProxyHeader 1
adminEmails root@localhostСтойности на директивата "useIpInProxyHeader":
- 0 - не предавайте IP адреси на източника (реални) в заглавието;
- 1 - подава IP адреси на източника в заглавието;
- 2 - предавайте IP адресите на източника в заглавието само от доверени IP адреси;
- 3 - предава заглавието от доверени IP адреси.
За да се гарантира, че изходните IP адреси на посетителите се показват правилно в логовете на сайта, е достатъчно да се зададе стойност "1". Това обаче може да не е безопасно, тъй като е възможно да се подменят IP адреси, като се използва заглавието "X-Forwarded-For", което се изпраща през прокси сървъра. Вместо това се препоръчва стойността да се зададе на "2" и да се добавят доверените IP адреси, чрез които се извършва проксирането, към правилото "allow" в раздела "accessControl".
Адресите трябва да се добавят след стойността "ALL", разделени със запетаи, като се посочва маската на подмрежата и се добавя суфикс "T", например:
accessControl {
allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}С това инструкциите са завършени.