OpenLiteSpeed to wysokowydajny serwer WWW typu open source opracowany przez LiteSpeed Technologies. Został zaprojektowany w celu zapewnienia szybkiego i wydajnego przetwarzania żądań internetowych i może być używany do hostowania dynamicznych i statycznych aplikacji internetowych. W tym artykule przyjrzymy się, dlaczego ważne jest wyświetlanie prawdziwego adresu IP odwiedzających w OpenLiteSpeed i jak to zrobić.
Dlaczego jest to ważne.
Wyświetlanie prawdziwego adresu IP odwiedzających w OpenLiteSpeed jest ważne z kilku powodów:
- Bezpieczeństwo. Znając prawdziwy adres IP, administratorzy mogą lepiej śledzić podejrzaną aktywność i zapobiegać atakom, takim jak DDoS lub próby włamań.
- Analityka. Możesz dokładniej analizować ruch w witrynie, określać lokalizację geograficzną użytkowników i zrozumieć, skąd pochodzi ruch.
- Dzienniki. Rzeczywiste adresy IP są przechowywane w dziennikach serwera, co ułatwia diagnozowanie problemów i analizowanie wydajności
- Konfiguracja dostępu. Administratorzy mogą konfigurować reguły dostępu do zasobów witryny w oparciu o adresy IP, blokując lub zezwalając na dostęp określonym użytkownikom.
- Buforowanie. Niektóre mechanizmy buforowania mogą działać lepiej, jeśli serwer zna prawdziwy adres IP klienta, co może poprawić wydajność.
Jest to również ważne w przypadku informacji o kontroli dostępu dla określonych adresów IP i analizy ruchu podczas korzystania z serwera proxy, takiego jak Cloudflare lub DDoS-GUARD. Aby poprawnie wyświetlać rzeczywisty adres IP, serwery proxy i load balancery, jeśli są używane w infrastrukturze, muszą być poprawnie skonfigurowane.
Instrukcje konfiguracji
Interfejs sieciowy serwera OpenLiteSpeed nie jest dostępny podczas korzystania z ispmanager 6, można zmienić wartość opcji "Use Client IP in Header" tylko ręcznie w pliku konfiguracyjnym "/usr/local/lsws/conf/httpd-config.conf".Opcja "Use Client IP in Header" odpowiada dyrektywie "useIpInProxyHeader" i domyślnie jest nieobecna w standardowej konfiguracji podczas pracy z ispmanager 6.
mime conf/mime.properties
showVersionNumber 0
useIpInProxyHeader 1
adminEmails root@localhostWartości dyrektywy "useIpInProxyHeader":
- 0 - nie przekazuj źródłowych (rzeczywistych) adresów IP w nagłówku;
- 1 - przekazuje źródłowe adresy IP w nagłówku;
- 2 - przekazuj źródłowe adresy IP w nagłówku tylko z zaufanych adresów IP;
- 3 - przekazuje nagłówek z zaufanych adresów IP.
Aby upewnić się, że źródłowe adresy IP odwiedzających są poprawnie wyświetlane w dziennikach witryny, wystarczy ustawić wartość na "1". Może to jednak nie być bezpieczne, ponieważ możliwe jest fałszowanie adresów IP za pomocą nagłówka "X-Forwarded-For", który jest wysyłany przez serwer proxy. Zamiast tego zaleca się ustawienie wartości na "2" i dodanie zaufanych adresów IP, przez które odbywa się proxy, do reguły "allow" w sekcji "accessControl".
Adresy należy dodać po wartości "ALL", oddzielając je przecinkami, określając maskę podsieci i dodając na przykład przyrostek "T":
accessControl {
allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}To kończy instrukcje.