Що дає відображення реальної IP-адреси відвідувачів в OpenLiteSpeed

OpenLiteSpeed - це високопродуктивний веб-сервер з відкритим вихідним кодом, розроблений компанією LiteSpeed Technologies. Він призначений для забезпечення швидкого та ефективного опрацювання веб-запитів і може використовуватися для хостингу динамічних і статичних веб-додатків. У цій статті розглянемо, чому важливе відображення реальної IP-адреси відвідувачів в OpenLiteSpeed і як це зробити.

Чому це важливо?

Відображення реальної IP-адреси відвідувачів в OpenLiteSpeed важливе з кількох причин:

1. Безпека. Знаючи реальну IP-адресу, адміністратори можуть краще відстежувати підозрілу активність і запобігати атакам, як-от DDoS або спробам злому.
2. Аналітика. Ви зможете точніше аналізувати трафік на сайті, визначати географічне положення користувачів і розуміти, звідки приходить трафік.
3. Логи. У журналах сервера зберігаються реальні IP-адреси, що спрощує діагностику проблем і аналіз продуктивності
4. Налаштування доступу. Адміністратори можуть налаштовувати правила доступу до ресурсів сайту на основі IP-адрес, блокуючи або дозволяючи доступ певним користувачам.
5. Кешування. Деякі механізми кешування можуть працювати краще, якщо сервер знає реальну IP-адресу клієнта, що може поліпшити продуктивність.

Також це важливо для отримання інформації з управління доступом для певних IP-адрес і для аналізу трафіку під час використання проксі-сервера, наприклад Cloudflare або DDoS-GUARD. Щоб коректно відображати реальну IP-адресу, необхідно правильно налаштувати проксі-сервери та балансувальники навантаження, якщо вони використовуються в інфраструктурі.

Інструкція налаштування

Веб-інтерфейс веб-сервера OpenLiteSpeed недоступний під час використання ispmanager 6, змінити значення опції "Use Client IP in Header" можна тільки вручну в конфігураційному файлі "/usr/local/lsws/conf/httpd-config.conf".опції "Use Client IP in Header" відповідає директива "useIpInProxyHeader", за замовчуванням її немає в стандартній конфігурації під час роботи з ispmanager 6.

mime    conf/mime.properties
showVersionNumber    0
useIpInProxyHeader    1
adminEmails    root@localhost

Значення директиви "useIpInProxyHeader":

• 0 - не передавати вихідні (реальні) IP-адреси в заголовку;
• 1 - передавати вихідні IP-адреси в заголовку;
• 2 - передавати вихідні IP-адреси в заголовку тільки від довірених IP-адрес;
• 3 - передавати заголовок від довірених IP-адрес.

Для того щоб вихідні IP-адреси відвідувачів коректно відображалися в журналах сайту, достатньо встановити значення "1". Однак це може бути небезпечно, оскільки можна підміняти IP-адреси, використовуючи заголовок "X-Forwarded-For", який передається через проксі-сервер. Замість цього рекомендується встановити значення "2" і додати довірені IP-адреси, через які здійснюється проксування, у секцію "accessControl" у правило "allow".

Додавати адреси необхідно після значення "ALL", через кому, вказуючи маску підмережі та додаючи суфікс "T", наприклад:

accessControl {
 allow ALL, 125.67.22.0/24T, 19.76.213.2/32T
}

На цьому інструкцію завершено.