雷池+frp 批量设置proxy_protocol实现真实IP透传

需求

内网部署safeline,通过frp让外网访问内部web网站服务,让safeline记录真实外网攻击IP safeline 跟 frp都部署在同一台服务器:192.168.2.103

frp client 配置

frpc只需要在https上添加transport.proxyProtocolVersion = "v2"即可,例如

root@safeline:~# cat /etc/frp/frpc.toml
[[proxies]]
name = "web1"
type = "https"
localIP = "192.168.2.103"
localPort = 443
subdomain = "web1"
transport.proxyProtocolVersion = "v2"[[proxies]]
name = "web2"
type = "https"
localIP = "192.168.2.103"
localPort = 443
subdomain = "web2"
transport.proxyProtocolVersion = "v2"

保存并且重启frp服务

safeline配置

safeline不支持web界面添加proxy_protocol支持,无法正常搭配frp显示真实IP,需要直接修改配置文件

1. 修改proxy_params 配置文件

/data/safeline/resources/nginx/proxy_params配置文件不会随着safeline重启而重置,我们在这里给配置全局开启proxy_protocol

这里注意需要修改set_real_ip_from 服务器的 IP 地址;,改为自己frps服务器的ip地址

root@safeline:/data/safeline/resources/nginx# cat /data/safeline/resources/nginx/proxy_params 
# 内网地址范围
set_real_ip_from 192.168.0.0/16;  # 覆盖 192.168.0.0 到 192.168.255.255
set_real_ip_from 172.16.0.0/12;   # 覆盖 172.16.0.0 到 172.31.255.255
set_real_ip_from 10.0.0.0/8;      # 覆盖 10.0.0.0 到 10.255.255.255# 公网 frps 服务器的 IP 地址
set_real_ip_from 服务器的 IP 地址;real_ip_header proxy_protocol;# 其他代理设置
proxy_set_header X-Real-IP $realip_remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_headers_hash_max_size 1024;
proxy_headers_hash_bucket_size 128;proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection $connection_upgrade;
proxy_hide_header X-Powered-By;# 添加条件判断以兼容非 proxy_protocol 连接
set $proxy_x_forwarded_for $proxy_add_x_forwarded_for;
set $proxy_x_real_ip $remote_addr;if ($proxy_protocol_addr) {set $proxy_x_forwarded_for "$proxy_protocol_addr, $proxy_x_forwarded_for";set $proxy_x_real_ip $proxy_protocol_addr;
}proxy_set_header X-Forwarded-For $proxy_x_forwarded_for;
proxy_set_header X-Real-IP $proxy_x_real_ip;

2. 创建config-proxy_protocol.sh脚本

我们要给/data/safeline/resources/nginx/sites-enabled目录下所有的IF_backend文件,在监听部分上添加proxy_protocol支持,其中增加一个白名单域名,白名单中的域名不做任何更改,该脚本可实现批量添加或者移除所有proxy_protocol

我们把脚本放在/data/safeline/resources/nginx/sites-enabled目录下,即/data/safeline/resources/nginx/sites-enabled/config-proxy_protocol.sh

1)创建脚本

vim /data/safeline/resources/nginx/sites-enabled/config-proxy_protocol.sh

2) 脚本内容如下,请注意要修改成自己的主域名子域名

#!/bin/bash# 主域名 ;改为自己的主域名,例如 ttxs.com
main_domain="ttxs.com"# 白名单子域名列表,如:op1.ttxs.com、op2.ttxs.com
whitelist_subdomains=("op1""op2"
)# 帮助函数
show_help() {echo "用法:$0 [true|false]"echo "  true  - 添加 proxy_protocol 支持"echo "  false - 移除 proxy_protocol 支持"echo "  ?     - 显示此帮助信息"
}# 检查参数
case "$1" intrue|false) action=$1 ;;""|"?") show_help; exit 0 ;;*) echo "错误:参数必须是 true 或 false。"; exit 1 ;;
esac# 修改配置函数
modify_config() {local file=$1local add_proxy=$2local changed=falsewhile IFS= read -r line; doif [[ $line =~ listen.*:443 ]]; thenif $add_proxy && [[ ! $line =~ proxy_protocol ]]; thenline="${line/ssl http2;/ssl http2 proxy_protocol;}"changed=trueelif ! $add_proxy && [[ $line =~ proxy_protocol ]]; thenline="${line/ proxy_protocol/}"changed=truefifiecho "$line"done < "$file" > "${file}.tmp"if $changed; thenmv "${file}.tmp" "$file"if $add_proxy; thenecho "已添加 proxy_protocol 支持: $file"elseecho "已移除 proxy_protocol 支持: $file"fielserm "${file}.tmp"if $add_proxy; thenecho "已支持 proxy_protocol,无需修改: $file"elseecho "无 proxy_protocol 支持,无需修改: $file"fifi
}# 主处理逻辑
for file in IF_backend_*; do[ -f "$file" ] || continueserver_name=$(grep "server_name" "$file" | awk '{print $2}' | tr -d ';\n' | sed 's/on$//')subdomain=${server_name%%.*}if [[ " ${whitelist_subdomains[*]} " =~ " $subdomain " ]]; thenecho "白名单域名,跳过修改: $file ($server_name)"continueficase "$action" intrue)  modify_config "$file" true ;;false) modify_config "$file" false ;;*)     modify_config "$file" true ;; # 默认添加支持esac
done# 测试并重新加载 Nginx 配置
echo "测试 Nginx 配置..."
if docker exec safeline-tengine nginx -t; thenecho "重新加载 Nginx 配置..."docker exec safeline-tengine nginx -s reloadecho "操作完成"
elseecho "Nginx 配置测试失败,未重新加载配置"exit 1
fi

3)给脚本添加执行权限

chmod +x /data/safeline/resources/nginx/sites-enabled/config-proxy_protocol.sh

3. 执行脚本进行批量修改

执行脚本,可传入参数truefalse 用法

root@safeline:/data/safeline/resources/nginx/sites-enabled# bash config-proxy_protocol.sh 
用法:config-proxy_protocol.sh [true|false]true  - 添加 proxy_protocol 支持false - 移除 proxy_protocol 支持?     - 显示此帮助信息

image.png

1)执行批量添加proxy_protocol示例

bash config-proxy_protocol.sh true

image.png

2)批量取消proxy_protocol添加示例

bash config-proxy_protocol.sh false

image.png

因为我们添加有白名单,而所有的防护站点都是监听同一个443端口,所以当有站点加白没有添加protocol支持的时候,执行会打印如下告警

nginx: [warn] protocol options redefined for 0.0.0.0:443 in /etc/nginx/sites-enabled/IF_backend_3:13

含义是:”protocol options redefined” 表示在 Nginx 配置中,对于同一个监听地址和端口(在这个例子中是 0.0.0.0:443),协议选项被重复定义了。我们忽略这个报警即可。

当我们不做白名单,所有站点都添加proxy_protocol,那就不会打印这个告警了

如果重启服务器或者服务,IF_backend文件被重置,那么直接执行一下该脚本即可

4. 测试

上面都配置好之后,访问配置好的域名,发现小地图已经正常显示归属地,配置成功

image.png

—百川论坛转发,作者:つ微凉徒眸意浅挚半

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/55600.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

旅游管理智能化转型:SpringBoot系统设计与实现

第四章 系统设计 4.1系统结构设计 对于本系统的开发设计&#xff0c;先自上向下&#xff0c;将一个完整的系统分解成许多个小系统来进行实现&#xff1b;再自下向上&#xff0c;将所有的“零件”组装成一个大的、完整的系统。因此这里面的许多个小功能块都要对将要实现的功能进…

用Python集成免费IP归属地查询API

IP查询的优势是什么&#xff1f; IP查询是一种强大的工具&#xff0c;能够快速提供关于IP地址的信息&#xff0c;如地理位置、互联网服务提供商&#xff08;ISP&#xff09;、连接类型等。这些数据在多种场景下都非常有用&#xff0c;帮助用户理解网络环境和用户行为。 首先&…

[哈希/二分]P1102 A-B 数对 - 洛谷

P1102 A-B 数对 - 洛谷 | 计算机科学教育新生态 题目来源 洛谷 题目内容 A-B 数对 题目背景 出题是一件痛苦的事情&#xff01; 相同的题目看多了也会有审美疲劳&#xff0c;于是我舍弃了大家所熟悉的 AB Problem&#xff0c;改用 A-B 了哈哈&#xff01; 题目描述 给…

Pikachu-Sql-Inject - 基于时间的盲注

基于时间的盲注&#xff1a; 就是前端的基于time 的盲注&#xff0c;什么错误信息都看不到&#xff0c;但是还可以通过特定的输入&#xff0c;判断后台的执行时间&#xff0c;从而确定注入。 mysql 里函数sleep() 是延时的意思&#xff0c;sleep(10)就是数据库延时10 秒返回内…

Android Framework AMS(02)AMS启动及相关初始化5-8

该系列文章总纲链接&#xff1a;专题总纲目录 Android Framework 总纲 本章关键点总结 & 说明&#xff1a; 说明&#xff1a;本章节主要涉及systemserver启动AMS及初始化AMS相关操作。同时由于该部分内容过多&#xff0c;因此拆成2个章节&#xff0c;本章节是第二章节&…

唯有经久鱼水情 堪负重任

唯有经久鱼水情 堪负重任

18734 拓扑排序

### 思路 1. **建模问题**&#xff1a;将课程和依赖关系建模为有向图&#xff0c;其中课程是节点&#xff0c;依赖关系是有向边。 2. **选择算法**&#xff1a;使用拓扑排序算法来确定课程的学习顺序。由于需要确保输出唯一性&#xff0c;同等条件下编号小的课程排在前面&…

EventSource是什么,和axios区别,以及SSE是什么

EventSource、axios以及SSE&#xff08;Server-Sent Events&#xff09;在Web开发中各自扮演着不同的角色&#xff0c;以下是它们的详细解释及区别&#xff1a; EventSource 定义&#xff1a;EventSource是浏览器提供的用于接收SSE事件的接口。它允许客户端通过HTTP协议与服务…

OpenCV视频I/O(19)视频写入类VideoWriter之释放 VideoWriter 对象占用的资源函数release()的使用

操作系统&#xff1a;ubuntu22.04 OpenCV版本&#xff1a;OpenCV4.9 IDE:Visual Studio Code 编程语言&#xff1a;C11 算法描述 关闭视频编写器。 该方法会在后续的 VideoWriter::open 调用和 VideoWriter 析构函数调用时自动调用。 cv::VideoWriter::release() 函数用于释放…

将自己写好的项目部署在自己的云服务器上

准备工作 这里呢我要下载的终端软件是Xshell 如图&#xff1a; 自己准备好服务器&#xff0c;我这里的是阿里云的服务器&#xff0c; 如图&#xff1a; 这两个准备好之后呢&#xff0c;然后对我们的项目进行打包。 如图&#xff1a; 这里双击打包就行了。 找到自己打成jar包…

桌面时钟哪个好?今年最热门的桌面时钟主题

桌面时钟可以让我们更方便的知道当前的时间&#xff0c;日期&#xff0c;因为它非常直观的展示在桌面上&#xff0c;当我们需要看时间的时候&#xff0c;一眼就可以看到了&#xff0c;这是一个非常便捷的功能&#xff0c;我们一起来看下《芝麻时钟》&#xff08;下载地址&#…

停车位识别数据集 图片数量12416张YOLO,xml和txt标签都有; 2类类别:space-empty,space-occupied;

YOLO停车位识别 图片数量12416张&#xff0c;xml和txt标签都有&#xff1b; 2类类别&#xff1a;space-empty&#xff0c;space-occupied&#xff1b; 用于yolo&#xff0c;Python&#xff0c;目标检测&#xff0c;机器学习&#xff0c;人工智能&#xff0c;深度学习&#xff0…

正则表达式【JavaScript】

JavaScript的正则表达式&#xff08;Regular Expressions&#xff0c;简称Regex或RegExp&#xff09;是一种强大的工具&#xff0c;用于匹配字符串中的模式。正则表达式包含许多元字符&#xff08;Metacharacters&#xff09;&#xff0c;这些元字符用于定义模式的结构。 一、…

计算机组成原理之浮点数的加减运算

计算机组成原理之浮点数的加减运算主要涉及以下几个步骤&#xff1a; 1、对阶&#xff1a;由于浮点数的阶码不同&#xff0c;小数点位置不同&#xff0c;不能直接进行尾数加减。首先求两数阶码之差&#xff0c;通过小数阶向大数阶看齐的原则&#xff0c;对阶码小的尾数进行移位…

vSAN06:ESA与OSA对比、ESA安装、新架构、工作方式、自动策略管理、原生快照、数据压缩、故障处理

目录 vSAN ESAvSAN ESA 安装ESA新架构ESA工作方式ESA自动策略管理自适应RAID5策略 原生快照支持数据压缩的改进ESA故障处理 vSAN ESA vSAN ESA 安装 流程和OSA完全一致&#xff0c;但要注意要勾选启用vSAN ESA ESA和OSA的底层架构不一样&#xff0c;但是UI上是一致的。 生产环…

【2024最新】华为HCIE认证考试流程

HCIE是华为认证体系中最高级别的ICT技术认证&#xff0c;表示通过认证的人具有ICT领域专业知识和丰富实践经验。 HCIE认证方向&#xff1a;最高认证级别HCIE的技术方向有13个 下面以HCIE-Datacom为例给大家介绍一下&#xff1a; HCIE-Datacom认证考试流程&#xff1a; 1.笔试…

Hive3.x版本调优总结

文章目录 第 1 章 Explain 查看执行计划&#xff08;重点&#xff09;1.1 创建测试用表1&#xff09;建大表、小表和 JOIN 后表的语句2&#xff09;分别向大表和小表中导入数据 1.2 基本语法1.3 案例实操 第 2 章 Hive 建表优化2.1 分区表2.1.1 分区表基本操作2.1.2 二级分区2.…

Ubuntu22——安装并配置局域网文件共享系统Samba

我们将共享目录设置为 /home/takway/share。以下是基于这个新目录的详细步骤&#xff1a; 在Ubuntu上安装并配置Samba 更新系统包列表 打开终端&#xff0c;执行以下命令来确保你的包列表是最新的&#xff1a; sudo apt update安装Samba 安装Samba及其相关工具&#xff1a; sud…

软件都用哪些编程语言写的?

一句话总结编程语言 编程语言千千万&#xff0c;每种语言都有自身独特的魅力。 一句话总结 C语言简洁自然、灵活又可怕。 C是C的超集&#xff0c;类型严格&#xff0c;泛型模板强大至极&#xff0c;博大精深很难摸透。 Java是更安全的C&#xff0c;跨平台中间件的老大哥。 C#为…

vmvare虚拟机centos 忘记超级管理员密码怎么办?

vmvare虚拟机centos 忘记超级管理员密码怎么办?如何重置密码呢? 一、前置操作 重启vmvare虚拟机的过程中,长按住Shift键 选择第一个的时候,按下按键 e 进入编辑状态。 然后就会进入到类似这个界面中。 在下方界面 添加 init=/bin/sh,然后按下Ctrl+x进行保存退出。 init=/bi…