author:JevonWei

版权声明:原创作品

基于ACL做访问控制(四层代理)

网络拓扑



环境

前端HAProxy 172.16.253.108

后端web1    172.16.253.105

后端web2    172.16.252.1

client      172.16.253.177

安装HAProxy

HAProxy

[root@HAProxy ~]# yum install haproxy -y

[root@HAProxy ~]# rpm -ql haproxy

[root@HAProxy ~]# iptables -F

[root@HAProxy ~]# setenforce 0

[root@HAProxy ~]# systemctl enable haproxy

[root@HAProxy ~]# cp /etc/haproxy/haproxy.cfg{,.bak}

[root@HAProxy ~]# vim /etc/haproxy/haproxy.cfg

web1

[root@web1 ~]# yum -y install httpd

[root@web1 ~]# vim /var/www/html/index.html

<h1> Backend Server 1 </h1>

[root@web1 ~]# systemctl start httpd

[root@web1 ~]# setenforce 0

[root@web1 ~]# iptables -F

web 2

[root@web2 ~]# yum -y install httpd

[root@web2 ~]# vim /var/www/html/index.html

<h1> Backend Server 2 </h1>

[root@web2 ~]# service httpd start

[root@web2 ~]# setenforce 0

[root@web2 ~]# iptables -F
  • block阻塞主机访问

172.16.251.196用户访问stats状态界面,并显示错误网页http://172.16.253.108:10080/403.html

HAProxy

[root@HAProxy ~]# vim /etc/haproxy/haproxy.cfg

    frontend myweb *:80

        default_backend websrvs

    backend websrvs

        balance roundrobin

        server srv1 172.16.253.105:80 check weight 2

        server srv2 172.16.252.1:80 check weight 1

    listen stats

        bind *:9000

        acl allowstats src 172.16.251.196

        block if allowstats  \\阻塞allowstats中的IP访问stats界面

        errorloc 403 http://172.16.253.108:10080/403.html

        stats enable

        stats uri /myproxy?admin

        stats realm "HAProxy Stats Page"

        stats auth admin:admin

        stats admin if TRUE

[root@HAProxy ~]# systemctl restart haproxy

访问测试

172.16.251.196使用浏览器访问测试http://172.16.253.108:10080/403.html
  • http-request允许某主机访问stats状态界面

允许172.16.251.196用户访问http://172.16.253.108服务器的HAProxy的状态界面

HAProxy

[root@HAProxy ~]# vim /etc/haproxy/haproxy.cfg

    frontend myweb *:80

        default_backend websrvs

    backend websrvs

        balance roundrobin

        server srv1 172.16.253.105:80 check weight 2

        server srv2 172.16.252.1:80 check weight 1

    listen stats

        bind *:9000

        acl allowstats src 172.16.251.196

        # http-request allow if allowstats  \\允许allowstats中的IP访问stats状态界面

        http-request deny  unless allowstats \\除了allowstats之外全部拒绝访问,即仅允许allowstats访问

        # http-request deny if allowstats \\拒绝allowstats访问

        errorloc 403 http://172.16.253.108:10080/403.html \\错误网页文件

        stats enable

        stats uri /myproxy?admin

        stats realm "HAProxy Stats Page"

        stats auth admin:admin

        stats admin if TRUE

[root@HAProxy ~]# systemctl restart haproxy

访问测试

图形化浏览器

    172.16.251.196使用浏览器访问测试http://172.16.253.108:10080/403.html

字符界面

    [root@client ~]# curl --basic --user admin:admin http://172.16.253.108:9000/myproxy?admin

基于ACL做访问控制(七层代理)

动态网页存放在动态服务器组中,静态网页存放在静态服务器组中

拓扑环境



环境

前端HAProxy 172.16.253.108

后端web1    172.16.253.105

后端web2    172.16.253.191

client      172.16.253.177
  • web1使用虚拟主机技术搭建两个web server,用来存放动态网页内荣容
  • web2使用虚拟主机搭建两个web server用来替代静态网页内容

web1创建虚拟主机

[root@web1 ~]# yum -y install php httpd

[root@web1 ~]# mkdir /data/web/vhost{1,2} -pv

[root@web1 ~]# vim /data/web/vhost1/index.php

<h1> Application Server 1</h1>

<?php

    phpinfo();

?>

[root@web1 ~]# vim /data/web/vhost2/index.php

<h1> Application Server 2</h1>

<?php

    phpinfo();

?>

虚拟主机1的配置文件

[root@web1 ~]# vim /etc/httpd/conf.d/vhost1.conf \\编辑vhost1虚拟主机的配置文件

<VirtualHost *:80>

    ServerName www1.danran.com

    DocumentRoot "/data/web/vhost1"

    <Directory "/data/web/vhost1">

            Options FollowSymLinks \\允许使用连接文件目录

            AllowOverride None \\不允许其他配置文件覆盖此文件中的设置

            Require all granted

    </Directory>

</VirtualHost>

虚拟主机2的配置文件

[root@web1 ~]# vim /etc/httpd/conf.d/vhost2.conf

[root@web1 ~]# vim /etc/httpd/conf.d/vhost2.conf

Listen 8080

<VirtualHost *:8080>

    ServerName www2.danran.com

    DocumentRoot "/data/web/vhost2"

    <Directory "/data/web/vhost2">

            Options FollowSymLinks

            AllowOverride None

            Require all granted

    </Directory>

</VirtualHost>

[root@web1 ~]# systemctl restart httpd.service

[root@web1 ~]# ss -ntl

web2创建虚拟主机

[root@web2 ~]# yum -y install httpd

[root@web2 ~]# mkdir -pv /data/web/vhost{1,2}

[root@web2 ~]# find /usr/share/ -iname "*.jpg" -exec cp {} /data/web/vhost1/ \;

[root@web2 ~]# find /usr/share/ -iname "*.jpg" -exec cp {} /data/web/vhost2/ \;

[root@web2 ~]# vim /data/web/vhost1/index.html

<h1> Image Server 1 </h1>

[root@web2 ~]# vim /data/web/vhost2/index.html

<h1> Image Server 2 </h1>

编辑虚拟主机1的配置文件

[root@web2 ~]# vim  /etc/httpd/conf.d/vhost1.conf

<VirtualHost *:80>

    ServerName www1.danran.com

    DocumentRoot "/data/web/vhost1"

    <Directory "/data/web/vhost1">

            Options FollowSymLinks

            AllowOverride None

            Require all granted

    </Directory>

</VirtualHost>

编辑虚拟主机2的配置文件

[root@web2 ~]# vim  /etc/httpd/conf.d/vhost2.conf

Listen 8080

<VirtualHost *:8080>

    ServerName www2.danran.com

    DocumentRoot "/data/web/vhost1"

    <Directory "/data/web/vhost1">

            Options FollowSymLinks

            AllowOverride None

            Require all granted

    </Directory>

</VirtualHost>

[root@web2 ~]# systemctl start httpd.service

HAProxy

[root@HAProxy ~]# vim /etc/haproxy/haproxy.cfg

    frontend myweb *:80

        cookie WEBSRV indirect nocache

        acl static path_end .jpg .jpeg .png .gif .txt .html \\定义ACL的组static以.jpg .jpeg .png .gif .txt .html结尾的文件

        use_backend staticsrvs  if static  \\当符合条件时使用static主机组

        default_backend dynsrvs  \\当不符合use_bckend条件时使用默认default_backend主机组

        backend dynsrvs \\定义动态主机组

            balance roundrobin

            server dynsrv1 172.16.253.105:80 check cookie dynsrv1

            server dynsrv2 172.16.253.105:8080 check cookie dynsrv2

        backend staticsrvs  \\定义静态主机组

            balance roundrobin

            server staticsrv1 172.16.253.191:80 check

            server staticsrv2 172.16.253.191:8080 check

[root@HAProxy ~]# systemctl restart haproxy

client

[root@client ~]# curl http://172.16.253.108/index.html

<h1> Image Server 1 </h1>

[root@client ~]# curl http://172.16.253.108/index.html

<h1> image Server 2 </h1>

[root@client ~]# curl http://172.16.253.108/index.php

<h1> Application Server 2</h1>

[root@client ~]# curl http://172.16.253.108/index.php

<h1> Application Server 2</h1>

拒绝curl访问web

HAProxy

[root@HAProxy ~]# vim /etc/haproxy/haproxy.cfg

    frontend myweb *:80

        cookie WEBSRV indirect nocache

        acl static path_end .jpg .jpeg .png .gif .txt .html \\定义ACL的组static以.jpg .jpeg .png .gif .txt .html结尾的文件

        use_backend staticsrvs  if static  \\当符合条件时使用static主机组

        default_backend dynsrvs  \\当不符合use_bckend条件时使用默认default_backend主机组

        acl bad_browsers hdr_reg(User-Agent) .*curl.* \\定义请求报文中包含curl的ACL组为bad_browsers

        block if bad_browsers \\阻塞bad_browsers组的访问

        backend dynsrvs \\定义动态主机组

            balance roundrobin

            server dynsrv1 172.16.253.105:80 check cookie dynsrv1

            server dynsrv2 172.16.253.105:8080 check cookie dynsrv2

        backend staticsrvs  \\定义静态主机组

            balance roundrobin

            server staticsrv1 172.16.253.191:80 check

            server staticsrv2 172.16.253.191:8080 check

[root@HAProxy ~]# systemctl restart haproxy

client

[root@client ~]# curl http://172.16.253.108/index.html

<html><body><h1>403 Forbidden</h1>

Request forbidden by administrative rules.

</body></html>

定义仅允许danran.com域内的的主机访问

HAProxy

[root@HAProxy ~]# vim /etc/haproxy/haproxy.cfg

    frontend myweb *:80

        cookie WEBSRV indirect nocache

        acl static path_end .jpg .jpeg .png .gif .txt .html \\定义ACL的组static以.jpg .jpeg .png .gif .txt .html结尾的文件

        use_backend staticsrvs  if static  \\当符合条件时使用static主机组

        default_backend dynsrvs  \\当不符合use_bckend条件时使用默认default_backend主机组

        acl valid_referers hdr_reg(Referer) \.danran\.com

        block unless valid_referers \\阻塞除了valid_referers组之外的所有人的访问

        backend dynsrvs \\定义动态主机组

            balance roundrobin

            server dynsrv1 172.16.253.105:80 check cookie dynsrv1

            server dynsrv2 172.16.253.105:8080 check cookie dynsrv2

        backend staticsrvs  \\定义静态主机组

            balance roundrobin

            server staticsrv1 172.16.253.191:80 check

            server staticsrv2 172.16.253.191:8080 check

[root@HAProxy ~]# systemctl restart haproxy

client

模拟www.danran.com主机访问

[root@client ~]# curl -e "http://www.danran.com/index.php" http://172.16.253.108/index.php

<h1> Application Server 2</h1>

Haproxy基于ACL做访问控制的更多相关文章

  1. HAProxy(二):HAProxy的ACL规则实现智能负载均衡详解与示例

    一.HAProxy的ACL的功能 ACL(Access Control List)访问控制列表,HAProxy中的ACL的匹配条件和控制条件有许多种,功能很强大,可以通过源地址.源端口.目标地址.目标 ...

  2. RBAC (基于角色的访问控制)

    基于角色的访问控制(Role-Based Access Control)作为传统访问控制(自主访问,强制访问)的有前景的代替受到广泛的关注.在RBAC中,权限与角色相关联,用户通过成为适当角色的成员而 ...

  3. haproxy利用ACL规则封禁自定义IP地址拒绝访问

    现在有一个需求就是在发版的时候希望除公司IP外的外网访问服务的时候都是拒绝访问的 现在利用haproxy 的acl规则作出限制 errorfile       403 /etc/haproxy/err ...

  4. RBAC基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  5. RBAC(Role-Based Access Control,基于角色的访问控制)

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成“用户-角色- ...

  6. haproxy 常用acl规则与会话保持

    一.常用的acl规则 haproxy的ACL用于实现基于请求报文的首部.响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性.其配置法则通常分为两 步,首先去定义ACL,即定义一个 ...

  7. YIi 权限管理和基于角色的访问控制

    验证和授权(Authentication and Authorization) 定义身份类 (Defining Identity Class) 登录和注销(Login and Logout) 访问控制 ...

  8. RBAC(Role-Based Access Control)基于角色的访问控制

    RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联.简单地说,一个用户拥有若干角色,每一个角色拥有若干权限.这样,就构造成"用 ...

  9. 移动服务和 Azure Active Directory 中基于角色的访问控制

    编辑人员注释:本文章由 Matthew Henderson撰写 去年 11月,我们发布了 Azure Active Directory (AAD) 预览版作为移动服务身份提供程序.此举旨在为企业开 ...

随机推荐

  1. MySql 求一段时间范围内的每一天,每一小时,每一分钟

    平常经常会求一段时间内的每一天统计数据,或者每一时点的统计数据.但是mysql本身是没有直接获取时点列表的函数或表.下面是自己用到的一些方法,利用临时变量和一个已存在的比较多数据(这个需要根据实际情况 ...

  2. 2013年五大主流浏览器 HTML5 和 CSS3 兼容性大比拼

    2013年五大主流浏览器 HTML5 和 CSS3 兼容性大比拼   转眼又已过去了一年,在这一年里,Firefox 和 Chrome 在拼升级,版本号不断飙升:IE10 随着 Windows 8 在 ...

  3. Python网络数据采集1-Beautifulsoup的使用

    Python网络数据采集1-Beautifulsoup的使用 来自此书: [美]Ryan Mitchell <Python网络数据采集>,例子是照搬的,觉得跟着敲一遍还是有作用的,所以记录 ...

  4. swift UITapGestureRecognizer获取点击事件点击的位置point

    func picTap(sender: UITapGestureRecognizer) { let point = sender.location(in: sender.view) } 其中获取的po ...

  5. hdu--1798--Doing Homework again(贪心)

    Doing Homework again Time Limit: 1000/1000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Oth ...

  6. Unity 坐标 转换 详解 World世界坐标 Screen屏幕坐标 View视口坐标 GUI坐标 NGUI坐标 localPosition相对父级坐标

    在制作游戏中我们经常会遇到这样一个需求: 在人物模型的上面显示 名字.称号 一类的文字或者图片 如下图 人物模型属于是Camera1   UI Title信息属于NGUI Camera2 如下图 这时 ...

  7. Android利用canvas画画板

    首先新建一个项目工程,建立文件,如下图所示

  8. Android -- 从源码的角度一步步打造自己的TextView

    1,自定义控件一直是我们的痛点,今天就和大家一点点去了解了解,首先一般的自定义控件都是继承于View类,所以我们先来看看view的一些重要的方法,这是官方文档,大家想了解更多也可以去看看,这里我展示对 ...

  9. PL/SQL 编程(三 )程序包和包体,触发器,视图,索引

    一.程序包和包体 程序包(package):存储在数据库中的一组子程序.变量定义.在包中的子程序可以被其它程序包或子程序调用.但如果声明的是局部子程序,则只能在定义该局部子程序的块中调用该局部子程序. ...

  10. 腾讯SNG电面

    第一次电面. 前半段基本闲聊,问题也记得不太清楚了. 自我介绍. 为什么想去上海工作?除了职业方面有其他原因吗?我猜出来面试官想问私人问题了,你真的可以直接问的,拐弯抹角了好久...有什么爱好.特长. ...