Nginx, как запретить невалидные поддомены?

Question

[Дмитрий]

С недавнего времени в логах стали появляться записи:

[Django] ERROR (EXTERNAL IP): Invalid HTTP_HOST header: '_tcp.domain.name. The domain name provided is not valid according to RFC 1034/1035

Было решено такие невалидные домены резать на nginx. Гуглением был найден такой regex для валидации: https://stackoverflow.com/a/7933253/13084502

В конфиге nginx прописал:

map $host $host_valid {                                                                                                                                                                       
    "~^(?!.{256})(?:[a-z0-9](?:[a-z0-9-]{0,61}[a-z0-9])?\.)+(?:[a-z]{1,63}|xn--[a-z0-9]{1,59})$" 1;                                                                                           
    default 0;                                                                                                                                                                                
}                                                                                                                                                                                             
                                                                                                                                                                                              
server {                                                                                                                                                                                      
    listen 443 ssl;                                                                                                                                                                           
                                                                                                                                                                                              
    server_name ~^(\w+)\.domain.name$;                                                                                                                                    
                                                                                                                                                                                              
    if ($host_valid = 0) {                                                                                                                                                                    
        return 444;                                                                                                                                                                           
    }                                                                                                                                                                                         
                                                                                                                                                                                              
    ...
}

На тестовом сервере работает. Т.к. опыта настройки nginx маловато, то прежде чем пихать на рабочий прошу совета: такое решение правильное, нет никаких подводных камней? Смущает наличие if. Как понял такое не приветствуется у профессионалов. Может есть более простое и изящное решение?

Comments

[Lynn «Кофеман»]

А у вас могут быть неизвестные поддомены? Может проще перечислить валидные?

[Дмитрий]

Нет, не проще. Фиксированных поддоменов нет. Каждый поддомен это отдельный лэндинг. Они могут удаляться и добавляться постоянно. Все действия осуществляются через админку, создание, удаление, редактирование лэндингов, естественно нужно чтобы все это работало без необходимости каждый раз лезть в конфиг nginx и делать reload.

[dodo512]

_tcp.domain.name

server_name ~^(\w+)\.domain.name$;

Дмитрий, в шаблоне \w означает [A-Za-z0-9_] т.е. в шаблоне разрешен символ _.
Получается разрешаем этот символ чтоб потом с помощью if блокировать.

Answer 1

[ky0]

Резать специально ничего не нужно, достаточно настроить default_server с отлупом, который не будет пропускать запросы для хостов, не перечисленных в настройках.

upd. прочитал ваш комментарий выше - но это ничего не меняет. Добавьте server_name с wildcard`ом, который будет обрабатывать любые ваши поддомены, а остальное будет отбиваться.

Comments

[Дмитрий]

Попытаюсь объяснить попонятнее, возможно я плохо описал:

Есть домен, условно domain.name, на поддоменах этого домена размещаются лендинги, типа так: landing1.domain.name. Т.к. поддомены не фиксированные, а могут добавляться\удаляться, в nginx их все не прописать, следовательно прописан server_name с wildcard (в первом посте написал). В результате web приложение (django в нашем случае, но это не важно на самом деле) получает запросы на ВСЕ поддомены, даже те что на самом деле не существуют, и те, которые невалидны согласно RFC.
С несуществующими доменами все ок, приложение содержит в БД список поддоменов и определяет что обработать, а что вернуть со статусом 404.
А вот невалидные домены я считаю неправильным вообще пускать за frontend сервер (разработчики django видимо тоже так считают, раз выбрасывают исключение и 500 статус в ответ на такое), в связи с чем и попытался придумать решение.
Каким образом default_server будет будет что-то не пускать я не понял, и он кстати настроен:

server {                                                                                                                                                                                      
    listen 80 default_server;                                                                                                                                                                 
                                                                                                                                                                                              
    server_name _;                                                                                                                                                                            
                                                                                                                                                                                              
    return 301 https://$host$request_uri;                                                                                                                                                     
}                                                                                                                                                                                             
                                                                                                                                                                                              
                                                                                                                                                                                              
server {                                                                                                                                                                                      
    listen 443 ssl default_server backlog=8192;                                                                                                                                               
                                                                                                                                                                                              
    server_name _;                                                                                                                                                                            
                                                                                                                                                                                              
    include /etc/nginx/snippets/snakeoil.conf;                                                                                                                                                
                                                                                                                                                                                              
    return 444;                                                                                                                                                                               
}

[ky0]

Дмитрий, стало понятнее, спасибо.

Но тогда возникает другой вопрос - кто ломится к вам на такие вот, невалидные домены и почему у них вообще существуют А-записи, смотрящие на ваш сервер (иначе как они к вам попадают)? Похоже на какие-то артефакты локального виндового домена - они любят всякие такие хосты с SRV-записями.

В плане решения - не думаю, что тут можно придумать что-то более изящное, чем дурацкая проверка по регэкспу/чёрному списку. Я бы забил, честно говоря, если, конечно, из-за этого у вас внутри что-то не падает.