OpenLiteSpeed - це високопродуктивний веб-сервер з відкритим вихідним кодом, розроблений компанією LiteSpeed Technologies. Він призначений для забезпечення швидкого та ефективного опрацювання веб-запитів і може використовуватися для хостингу динамічних і статичних веб-додатків. У цій статті розглянемо, чому важливе відображення реальної IP-адреси відвідувачів в OpenLiteSpeed і як це зробити.
Чому це важливо?
Відображення реальної IP-адреси відвідувачів в OpenLiteSpeed важливе з кількох причин:
- Безпека. Знаючи реальну IP-адресу, адміністратори можуть краще відстежувати підозрілу активність і запобігати атакам, як-от DDoS або спробам злому.
- Аналітика. Ви зможете точніше аналізувати трафік на сайті, визначати географічне положення користувачів і розуміти, звідки приходить трафік.
- Логи. У журналах сервера зберігаються реальні IP-адреси, що спрощує діагностику проблем і аналіз продуктивності
- Налаштування доступу. Адміністратори можуть налаштовувати правила доступу до ресурсів сайту на основі IP-адрес, блокуючи або дозволяючи доступ певним користувачам.
- Кешування. Деякі механізми кешування можуть працювати краще, якщо сервер знає реальну IP-адресу клієнта, що може поліпшити продуктивність.
Також це важливо для отримання інформації з управління доступом для певних IP-адрес і для аналізу трафіку під час використання проксі-сервера, наприклад Cloudflare або DDoS-GUARD. Щоб коректно відображати реальну IP-адресу, необхідно правильно налаштувати проксі-сервери та балансувальники навантаження, якщо вони використовуються в інфраструктурі.
Інструкція налаштування
Веб-інтерфейс веб-сервера OpenLiteSpeed недоступний під час використання ispmanager 6, змінити значення опції "Use Client IP in Header" можна тільки вручну в конфігураційному файлі "/usr/local/lsws/conf/httpd-config.conf".опції "Use Client IP in Header" відповідає директива "useIpInProxyHeader", за замовчуванням її немає в стандартній конфігурації під час роботи з ispmanager 6.
mime conf/mime.properties
showVersionNumber 0
useIpInProxyHeader 1
adminEmails root@localhostЗначення директиви "useIpInProxyHeader":
- 0 - не передавати вихідні (реальні) IP-адреси в заголовку;
- 1 - передавати вихідні IP-адреси в заголовку;
- 2 - передавати вихідні IP-адреси в заголовку тільки від довірених IP-адрес;
- 3 - передавати заголовок від довірених IP-адрес.
Для того щоб вихідні IP-адреси відвідувачів коректно відображалися в журналах сайту, достатньо встановити значення "1". Однак це може бути небезпечно, оскільки можна підміняти IP-адреси, використовуючи заголовок "X-Forwarded-For", який передається через проксі-сервер. Замість цього рекомендується встановити значення "2" і додати довірені IP-адреси, через які здійснюється проксування, у секцію "accessControl" у правило "allow".
Додавати адреси необхідно після значення "ALL", через кому, вказуючи маску підмережі та додаючи суфікс "T", наприклад:
accessControl {
allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}На цьому інструкцію завершено.