Как обыграть $remote_addr в allow?

Question

[nikitasius]

Добрый вечер.
nginx собран с модулем "ngx_http_realip_module".

В конфиге доступа прописано:

allow  127.0.0.1;
[allow на ipv4 и ipv6 сервера]
allow  199.27.128.0/21;
[allow на другие подсети cloudflare];
deny all;

Далее есть строки (в конфиге выше строк с allow):

set_real_ip_from  199.27.128.0/21;
[set_real_ip_from  другие подсети cloudflare];
real_ip_header     CF-Connecting-IP;

Я вижу в логах, что nginx правильно определяет ip клиента из хедера, который передается ему с серверов cloudflare, но клиент получает 403, так как ip клиента не входит в ip, прописанные в allow секции.

Я пытался обыграть как:
allow $remote_addr; (так как тут хранится ip клиента)
или

set $newuserip $remote_addr;
allow $newuserip;

В обоих случаях nginx пишет
nginx: [emerg] invalid parameter "$newuserip " in

nginx: [emerg] invalid parameter "$remote_addr" in

Можно ли как-нибудь обыграть текущий ip клиента в allow секции (сделать ее динамической)?
Это нужно, чтобы: *видеть с логах актуальный ip.

*я его и так вижу как header, но нужно чтобы было "красиво".

Answer 1

[neolink]

закройте 80 порт с помощью iptables

Comments

[nikitasius]

Рад почитать развернутый комментарий о том, как это поможет.
Дополнение: nginx обслуживает часть доменов самостоятельно, а часть через cloudflare и allow/deny all.

[neolink]

nikitasius:
у nginx декларативный конфиг, так что либо убирать денаи, либо меняйте формат лога и пишите туда не remote_addr а заголовок cloud flare
ну и на тему:
основная идея защиты от ddos что никто не знает вашего реального айпи иначе вам просто зальют канал и всё, так что миксовать разные доступы не самая лучшая идея

[nikitasius]

neolink: я понял вашу идею. Но в данном случае цель не сколько защита от ддоса, сколько раздача статики через cloudflare. Динамика не проксируется.
Еще одна причина, это отправка почты. Так как "я сам себе почтовый сервер", то мои IP банально выдернут из TXT (SPF) записи домена, если решат меня найти и забить мне канал.

Answer 2

[Евгений]

Просто смените формат логов.

Кстати, у меня есть вопрос про cdn cloudflare: я заметил, что пока файл качает первый запросивший и он заливается в кеш cdn никто другой не может его скачать. Соединения на файл просто висят и ждут. Потом уже раздается с cloudflare и все нормально.
Сталкивались ли вы с таким? Каким образом закидываются файлы в кеш у вас?

Comments

[nikitasius]

Да, заметил такое же, при первом доступе.
Но у cloudflare "42 PoPs'а", соответственно если 2 человека, которые территориально "принадлежат" к разным точкам забора статики, то второй клиент ждать не будет. Я тестировал через сервера в разных странах.
Кстати, cloudflare забирает файлы на ~20 мегабитах в секунду на 1 файл в 1 PoP, для кеширование надо иметь хороший канал (у меня 200 Мбит и cloudflare иногда до 80 Мбит на архивах отбирает себе).
Для CDN'а такой "большой статики" в России есть хитрость - забираете ее сами с Российского IP, на паре скачанных Мбайт отключаете скачивание, ждете пока PoP ее скачает (по сетевому траффику, например через atop или пока об этом не появится отметка в логе доступа), и дальше можно материал использовать для паблика.
Вот небольшая статься про кеширование "всего подряд" (habrahabr.ru/post/245165/), в ней поднята тема 42 PoP'ов.

[Евгений]

nikitasius: довольно плохо, что они несколько раз тянут кеш с сервера.
А что по лимитам? Много гигабайт можно так закешировать?

[nikitasius]

Nc_Soft: в саппорт разделе описаны только лимиты на файл. Общих лимитов я не видел. У меня сейчас там примерно 10Гб кеша. Задайте им вопрос в саппорт, а ответом поделитесь:)

[Евгений]

nikitasius: я их лучше потестирую, если забанят сообщу ))

[nikitasius]

Nc_Soft: https://www.cloudflare.com/terms : "SECTION 10: LIMITATION ON NON-HTML CACHING"

[Евгений]

nikitasius: пока не забанили, но я заметил интересную особенность: в сутки в статистике получается ровно 2тб трафа на аккаунт, не больше.
Скорее всего, это значит что у них лимит по полосе для одного юзера около 100мбит/с