Az OpenLiteSpeed a LiteSpeed Technologies által kifejlesztett nagy teljesítményű nyílt forráskódú webszerver. Úgy tervezték, hogy gyors és hatékony webes kérések feldolgozását biztosítsa, és dinamikus és statikus webes alkalmazások hosztolására használható. Ebben a cikkben azt nézzük meg, hogy miért fontos a látogatók valódi IP-címének megjelenítése az OpenLiteSpeedben, és hogyan lehet ezt megtenni.
Miért fontos ez?
A látogatók valós IP-címének megjelenítése az OpenLiteSpeedben több okból is fontos:
- Biztonság. A valós IP-cím ismeretében a rendszergazdák jobban nyomon követhetik a gyanús tevékenységeket, és megelőzhetik az olyan támadásokat, mint a DDoS vagy a hacker támadási kísérletek.
- Elemzés. Pontosabban elemezheti a webhely forgalmát, meghatározhatja a felhasználók földrajzi elhelyezkedését, és megértheti, honnan érkezik a forgalom.
- Naplók. A valós IP-címek tárolódnak a szervernaplókban, így a problémák diagnosztizálása és a teljesítmény elemzése egyszerűbbé válik.
- Hozzáférési konfiguráció. A rendszergazdák IP-címek alapján konfigurálhatják a webhely erőforrásaihoz való hozzáférési szabályokat, letiltva vagy engedélyezve a hozzáférést bizonyos felhasználók számára.
- Tárolás. Egyes gyorsítótárazási mechanizmusok jobban működnek, ha a kiszolgáló ismeri az ügyfél valós IP-címét, ami javíthatja a teljesítményt.
Ez fontos az egyes IP-címekre vonatkozó hozzáférés-szabályozási információk és a forgalom elemzése szempontjából is, ha olyan proxy-kiszolgálót használ, mint a Cloudflare vagy a DDoS-GUARD. A valós IP-cím helyes megjelenítéséhez a proxykiszolgálókat és a terheléselosztókat, ha az infrastruktúrában használják őket, megfelelően kell konfigurálni.
Konfigurációs utasítások
Az OpenLiteSpeed webkiszolgáló webes felülete nem érhető el az ispmanager 6 használatakor, az "Use Client IP in Header" opció értékét csak manuálisan lehet megváltoztatni a "/usr/local/lsws/conf/httpd-config.conf"konfigurációs fájlban.A "Use Client IP in Header" opció a "useIpInProxyHeader" direktívának felel meg, és alapértelmezetten hiányzik a standard konfigurációból, amikor az ispmanager 6-tal dolgozik.
mime conf/mime.properties
showVersionNumber 0
useIpInProxyHeader 1
adminEmails root@localhostA "useIpInProxyHeader" irányelv értékei:
- 0 - ne adja át a forrás (valós) IP-címeket a fejlécben;
- 1 - a forrás IP-címek átadása a fejlécben;
- 2 - csak a megbízható IP-címek forrás IP-címeit továbbítja a fejlécben;
- 3 - a fejléc átadása megbízható IP-címekről.
Ahhoz, hogy a látogatók forrás IP-címei helyesen jelenjenek meg a webhely naplóiban, elegendő az "1" értéket beállítani. Ez azonban nem biztos, hogy biztonságos, mivel a proxykiszolgálón keresztül küldött "X-Forwarded-For" fejléc segítségével lehetséges az IP-címek meghamisítása. Ehelyett ajánlott a "2" értéket beállítani, és az "accessControl" szakaszban az "engedélyezési" szabályhoz hozzáadni azokat a megbízható IP-címeket, amelyeken keresztül a proxyküldés történik.
A címeket az "ALL" érték után kell hozzáadni, vesszővel elválasztva, megadva az alhálózati maszkot és hozzáadva például a "T" utótagot:
accessControl {
allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}Ezzel az utasítások befejeződtek.