ugrás a tartalomhoz

Kliens IP címe

mind1 valami név · 2018. Dec. 31. (H), 12.53
Nem tudom, szerver- vagy kliensoldali probléma: logolni akarom a kliensek IP címét, hogy az illető később vissza tudja nézni, milyen IP-kről jelentkezett be a szolgáltatásba.

Hányféle módszer van a kliens IP címének begyűjtésére?

A kérdés eredete: több webes e-mail szolgáltatónál van ilyen lehetőség, hogy listázzam, milyen címekről léptem be. A legtöbb helyen a valós WAN címem szerepel. Kivéve, ahol nem mindig... mert ha a lokális proxy-mat (squid - ahogy felmegy ubuntun, nincs plusz konfig rajta amennyire emlékszem) használom, akkor nem a WAN címet látom ebben a listában, hanem a LAN-os címeket.
És itt egy kicsit vakarom a fejem, hogy ezt akkor most mégis hogyan...
Megfelelő, neten lévő szerver hiányában nem tudok tcpdump-ot készíteni a forgalomról, nem látom, miért találja meg az egyik a LAN-os címet és miért látja a másik a valódit...
 
1

Lövésem sincs, de ha proxy-t

inf3rno · Jan. 1. (K), 02.50
Lövésem sincs, de ha proxy-t használsz, akkor a proxy továbbküldi az IP címet, amiről hívtad, szóval lehet, hogy így kapják meg a LAN-os címedet.
2

Köszi, hogy hozzászóltál,

mind1 valami név · Jan. 1. (K), 04.03
Köszi, hogy hozzászóltál, legalább ránéztem a squid.conf-ra. :)
Szóval az van, hogy alapjáraton a squid forwarded_for paramétere on-ra van állítva, amitől az X-Forwarded-For headerbe bekerül a LAN-os cím. Ha off-ra teszem, akkor unknown lesz az értéke, ha transparent-re, akkor nincs ilyen bejegyzés a headerben, ettől kezdve az a nyomorult site is a valós IP címem rögzíti.

B.Ú.É.K.! :)
3

Nekem kellene valami olyan

inf3rno · Jan. 1. (K), 07.31
Nekem kellene valami olyan reverse proxy, amihez hozzá tudok tákolni egyedi biztonsági dolgokat is, pl DDOS védelem, SPAM védelem, stb. Létezik ilyen? Mivel nodejs-el szórakozom, a redbird-öt néztem, de annál még nincs semmilyen biztonsági modul.
4

DDOS ellen az nginx (nem csak

mind1 valami név · Jan. 1. (K), 09.14
DDOS ellen az nginx (nem csak web szerver, reverse proxy-nak is jó) állítólag tud valami védelmet, bár nekem vannak kétségeim, mivel a DDOS-nak pont az a lényege, hogy az erőforrások fogynak el, amit úgy tudom, csak elosztott, felhős rendszeren lehet úgy-ahogy védeni.
Spam elleni védelmet nem tudok, ez szerintem nem is a proxy feladata, mivel alkalmazás függő.

A squidnak is van pár érdekes dolga, meg talán a squid-guard is bevethető (illetve valamelyik forkja, mert úgy rémlik, a squid-guard fejlesztése megállt)
5

Szerintem simán lehet a proxy

inf3rno · Jan. 1. (K), 19.08
Szerintem simán lehet a proxy feladata is, ha előszűrőnek használjuk. Ha JSON-ban megy az adat, akkor simán parsolja és átnézi a szöveges részeket, hogy hasonlítanak e a már elkapott spam levelekhez. Mondjuk abban igazad van, hogy jobb, ha ez alkalmazás függő, mert erőforrás igényes lehet, és belassulhat tőle az egész. A DDOS viszont eléggé ide tartozik, mert terhelés elosztást, ilyesmiket is csinál a reverse proxy ha jól tudom. Mondjuk nekem pont olyan kéne, amibe saját scriptet be tudok tenni egy middleware-be, aztán azt csinál, amit mondok neki, nem valami konfig fájl alapján próbál hardcodeolt algoritmusokkal valamit kezdeni a helyzettel. Szóval én ilyet keresek, amibe egyedi ellenőrző kódot be tudok tenni. Ezek szerint ritka vagy nem létezik az ilyen.
6

Mondom: az írás szerint az

mind1 valami név · Jan. 1. (K), 19.30
Mondom: az írás szerint az nginx rendelkezik ddos védelemmel, a squid esetében csak feltételezni tudom.
Sose használtam ilyesmit, pedig üzemeltettem clustert, de ott másképp ment az erőforrás megosztás,olyan ma már nem létezik, amivel én dolgoztam.
Az, hogy a ddos védelem nem igazán lehet hatékony, az csak az én privát véleményem. Ilyen támadást többnyire fertőzött gépek tömegéről indítanak, amit kb. egy digitalocean/google/amazon méretű, felhős szolgáltatónak van esélye kivédeni. Kicsi szolgáltatónak, egy-két-öt-tíz szerverrel nem annyira. Eldugítják az az 1-10Gbps sávszélt, mit csinálsz?

A spamvédelem más téma: az szerintem az alkalmazás dolga, a reverse proxy nem nagyon tudhatja, hogy az adott tartalom spam-e vagy kifejezetten az alkalmazáshoz illeszkedő infó (nem mindegy, hogy egy olyan oldal működik mögötte, ami pornó oldalak linkcseréjét biztosítja, vagy valami politikai fórum, ahol a tömeges pornó linkelés már spam ;) )
7

Spam szűrés

Pepita · Jan. 3. (Cs), 10.18
szerintem is inkább az alkalmazás feladata.
Ha JSON-ban megy az adat, akkor simán parsolja
...és ha már parsolta, akkor így adja tovább az alkalmazásnak, ne legyen 2x parsolva - és már el is mosódott szépen, hogy hol vannak a határok, mi az, ami az alkalmazás feladata, mi az, ami a proxié.
Pl kapsz egy error-t parsoláskor, azt logolni is a proxinak kell, pedig alkalmazás / kliens hiba.

Ugyanakkor az alkalmazásod sokkal könnyebben kiválogatja / figyeli csak azokat a végpontokat, ahol lehet is spamelni (feltéve, hogy nem minden POST request-tel lehet). Nyilván a felhasználó- és jogosultságkezelést se akarod a proxy-ra bízni, azt pedig sokkal egyszerűbb ellenőrizni, hogy pillanatnyilag küldhet-e oda tartalmat az XY, mint magát a tartalmat.

Szóval szerintem túlságosan elmosódnának a határok, hogy kinek mi a feladata, spam maradjon az alkalmazás dolga.
8

Ja, igazad van.

inf3rno · Jan. 3. (Cs), 21.30
Ja, igazad van.