Cloudflare からプロキシされたアクセスを Nginx の real_ip_header でクライアントの IP アドレスを記録しつつ、Cloudflare からのアクセスのみを許可する
「お前のタイトル良く分かんねえんだけど?」
アクセスログに Cloudflare じゃなくてクライアント IP にしたい!&Cloudflare からのみアクセスしたい!
セキュリティ向上!
1. Cloudflare からプロキシされたアクセスを Nginx のアクセスログのクライント IP を正しいのにする
(正しいっていう表現は間違ってるけど!)
set_real_ip_from 103.21.244.0/22; set_real_ip_from 103.22.200.0/22; set_real_ip_from 103.31.4.0/22; set_real_ip_from 104.16.0.0/12; set_real_ip_from 108.162.192.0/18; set_real_ip_from 131.0.72.0/22; set_real_ip_from 141.101.64.0/18; set_real_ip_from 162.158.0.0/15; set_real_ip_from 172.64.0.0/13; set_real_ip_from 173.245.48.0/20; set_real_ip_from 188.114.96.0/20; set_real_ip_from 190.93.240.0/20; set_real_ip_from 197.234.240.0/22; set_real_ip_from 198.41.128.0/17; set_real_ip_from 2400:cb00::/32; set_real_ip_from 2600:4700::/32; set_real_ip_from 2803:f800::/32; set_real_ip_from 2405:b500::/32; set_real_ip_from 2405:8100::/32; set_real_ip_from 2c0f:f248::/32; set_real_ip_from 2a06:98c0::/29; real_ip_header CF-Connecting-IP;
よくあるやつ。
2. Cloudflare からのアクセスのみ許可する
Location / {
allow 103.21.244.0/22;
deny all;
proxy_pass http://hoge;
}
これで実現はできない。 全部のアクセスが弾かれる。
これは 評価順と real_ip_header の問題で前提として real_ip_header はクライントに関する情報を CF-Connecting-IP で上書きされる。
ということは allow で評価されるクライアント IP も既に Cloudflare の IP ではなく、クライアントの IP で評価されるため。
じゃあどうするかというと面倒だけど $realip_remote_addr と map を使う。
解決
- アクセスログ問題はそのままで OK
Cloudflare からのアクセスのみ許可する
geo $realip_remote_addr $cf {
default 0;
# IPv4
173.245.48.0/20 1;
103.21.244.0/22 1;
103.22.200.0/22 1;
103.31.4.0/22 1;
141.101.64.0/18 1;
108.162.192.0/18 1;
190.93.240.0/20 1;
188.114.96.0/20 1;
197.234.240.0/22 1;
198.41.128.0/17 1;
162.158.0.0/15 1;
104.16.0.0/12 1;
172.64.0.0/13 1;
131.0.72.0/22 1;
# IPv6
2400:cb00::/32 1;
2606:4700::/32 1;
2803:f800::/32 1;
2405:b500::/32 1;
2405:8100::/32 1;
2a06:98c0::/29 1;
2c0f:f248::/32 1;
}
location / {
if ($cf = 0)
return 403;
}
}
とすればOK
そして、この IP たちをどうやって更新していくかというと
