nginxでIP制限する際に嵌った。
はじめに
- 作者: Dimitri Aivaliotis,高橋基信
- 出版社/メーカー: オライリージャパン
- 発売日: 2013/10/26
- メディア: 大型本
- この商品を含むブログを見る
管理画面など、特定のIPアドレスからのみアクセスを許可したいのはよくあると思います。
今日は、その設定で嵌ったのでメモしておきます。 今回は、 サンプルとして /admin へのアクセスをIP制限したいと思います。
嵌った設定
/admin { allow 123.456.789; # 許可するIP deny all; proxy_pass http://example.local }
この設定の意図としては、 123.456.789 というIPはアプリケーションサーバーへアクセスでき、それ以外のIPのものは403になるというものでした。
が、 123.456.789 IP以外からもdeny all をすり抜け管理画面にアクセスできてしまいました。
同僚が仮想マシンに同様の環境を構築して調査してもらいましたが、
その際はきちんとアクセス制限できていたので、なぜこの方法でアクセス制限ができないのかは、未だに謎です。
解決方法
それでどうやって解決したかというと
if ($remote_addr ~* “123.456.789”) { proxy_pass http://example.local break; }
remote_addr と if と組み合わせることで、アクセス制限を行いました。
こちらの方法では、問題なくアクセス制限をすることができました。
まとめ
- 嵌った方法で設定できないのが、謎。
- とりあえず、設定はできたのでよい。