Какво прави показването на реалния IP адрес на посетителите в OpenLiteSpeed?

OpenLiteSpeed е високопроизводителен уеб сървър с отворен код, разработен от LiteSpeed Technologies. Той е проектиран да осигурява бърза и ефективна обработка на уеб заявки и може да се използва за хостинг на динамични и статични уеб приложения. В тази статия ще разгледаме защо е важно да се показва истинският IP адрес на посетителите в OpenLiteSpeed и как да го направим.

Защо е важно.

Показването на реалния IP адрес на посетителите в OpenLiteSpeed е важно по няколко причини:

1. Сигурност. Като знаят реалния IP адрес, администраторите могат по-добре да проследяват подозрителна дейност и да предотвратяват атаки, като например DDoS или опити за хакерство.
2. Анализ. Можете по-точно да анализирате трафика на сайта, да определите географското местоположение на потребителите и да разберете откъде идва трафикът.
3. Дневници. Реалните IP адреси се съхраняват в логовете на сървъра, което улеснява диагностицирането на проблеми и анализа на производителността
4. Конфигуриране на достъпа. Администраторите могат да конфигурират правила за достъп до ресурсите на сайта въз основа на IP адреси, като блокират или разрешават достъпа на определени потребители.
5. Кеширане. Някои механизми за кеширане могат да работят по-добре, ако сървърът знае истинския IP адрес на клиента, което може да подобри производителността.

Това е важно и за информацията за контрол на достъпа за конкретни IP адреси и за анализ на трафика при използване на прокси сървър, като Cloudflare или DDoS-GUARD. За да се показва правилно реалният IP адрес, прокси сървърите и балансьорите на натоварване, ако се използват в инфраструктурата, трябва да са конфигурирани правилно.

Инструкции за конфигуриране

Уеб интерфейсът на уеб сървъра OpenLiteSpeed не е достъпен при използване на ispmanager 6, можете да промените стойността на опцията "Use Client IP in Header" (Използвай клиентски IP в заглавието) само ръчно в конфигурационния файл "/usr/local/lsws/conf/httpd-config.conf". опцията "Use Client IP in Header" (Използвай клиентски IP в заглавието) съответства на директивата "useIpInProxyHeader" и по подразбиране отсъства в стандартната конфигурация при работа с ispmanager 6.

mime    conf/mime.properties
showVersionNumber    0
useIpInProxyHeader    1
adminEmails    root@localhost

Стойности на директивата "useIpInProxyHeader":

• 0 - не предавайте IP адреси на източника (реални) в заглавието;
• 1 - подава IP адреси на източника в заглавието;
• 2 - предавайте IP адресите на източника в заглавието само от доверени IP адреси;
• 3 - предава заглавието от доверени IP адреси.

За да се гарантира, че изходните IP адреси на посетителите се показват правилно в логовете на сайта, е достатъчно да се зададе стойност "1". Това обаче може да не е безопасно, тъй като е възможно да се подменят IP адреси, като се използва заглавието "X-Forwarded-For", което се изпраща през прокси сървъра. Вместо това се препоръчва стойността да се зададе на "2" и да се добавят доверените IP адреси, чрез които се извършва проксирането, към правилото "allow" в раздела "accessControl".

Адресите трябва да се добавят след стойността "ALL", разделени със запетаи, като се посочва маската на подмрежата и се добавя суфикс "T", например:

accessControl {
 allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}

С това инструкциите са завършени.