Отображение реального IP-адреса посетителей в OpenLiteSpeed
Для чего это нужно
Получение информации для управления доступом для определенных IP-адресов и для анализа трафика при использовании прокси-сервера, например Cloudflare или DDoS-GUARD.
Инструкции
Поскольку веб-интерфейс веб-сервера OpenLiteSpeed недоступен при использовании ispmanager 6, изменить значение опции «Use Client IP in Header» потребуется вручную, в конфигурационном файле /usr/local/lsws/conf/httpd-config.conf.
Опции «Use Client IP in Header» соответствует директива useIpInProxyHeader и по умолчанию она отсутствует в стандартной конфигурации в работе с ispmanager 6.
Добавить её рекомендуется сразу после директивы showVersionNumber, например:
mime conf/mime.properties
showVersionNumber 0
useIpInProxyHeader 1
adminEmails root@localhostЗначения директивы useIpInProxyHeader могут быть следующие:
- 0 - не передавать исходные (реальные) IP-адреса в заголовке
- 1 - передавать исходные IP-адреса в заголовке
- 2 - передавать исходные IP-адреса в заголовке только от доверенных IP-адресов
- 3 - передавать заголовок от доверенных IP-адресов
Чтобы исходные IP-адреса посетителей сайта передавались в журнал сайта, достаточно установить значение 1, однако это небезопасно, поскольку позволяет злоумышленникам подменять IP-адреса с помощью заголовка «X-Forwarded-For», который отправляется на прокси-сервер.
Вместо этого рекомендуется установить значение 2 и добавить в секцию accessControl в правило allow доверенные IP-адреса, через которых выполняется проксирование.
Добавлять адреса необходимо после значения ALL, через запятую, указывая маску подсети и добавляя суффикс T, например:
accessControl {
allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}