HAProxy的ACL

访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,比如允许其通过或丢弃。

定义ACL匹配规范,即:判断条件

hdr string,提取在一个HTTP请求报文的首部

hdr(\ \[,\]):完全匹配字符串,header的指定信息,<occ> 表示在多值中使用的值的出现次数

hdr_beg(\ \[,\]):前缀匹配,header中指定匹配内容的begin

hdr_end(\ \[,\]):后缀匹配,header中指定匹配内容end

hdr_dom(\ \[,\]):域匹配,header中的domain name

hdr_dir(\ \[,\]):路径匹配,header的uri路径

hdr_len(\ \[,\]):长度匹配,header的长度匹配

hdr_reg(\ \[,\]):正则表达式匹配,自定义表达式(regex)模糊匹配

hdr_sub(\ \[,\]):子串匹配,header中的uri模糊匹配

#示例:

hdr(<string>) 用于测试请求头部首部指定内容

hdr_dom(host) 请求的host名称,如 www.magedu.com

hdr_beg(host) 请求的host开头,如 www. img. video. download. ftp.

hdr_end(host) 请求的host结尾,如 .com .net .cn

#示例:

acl bad_agent hdr_sub(User-Agent) -i curl wget

block if bad_agent

#有些功能是类似的,比如以下几个都是匹配用户请求报文中host的开头是不是www:

acl short_form hdr_beg(host) www.

acl alternate1 hdr_beg(host) -m beg www.

acl alternate2 hdr_dom(host) -m beg www.

acl alternate3 hdr(host) -m beg www.

base : string

#返回第一个主机头和请求的路径部分的连接,该请求从第一个斜杠开始,并在问号之前结束,对虚拟主机有用

<scheme>://<user>:<password>@#<host>:<port>/<path>;<params>#?<query>#<frag>

base : exact string match

base_beg : prefix match

base_dir : subdir match

base_dom : domain match

base_end : suffix match

base_len : length match

base_reg : regex match

base_sub : substring match

path : string

#提取请求的URL路径,该路径从第一个斜杠开始,并在问号之前结束(无主机部分)

<scheme>://<user>:<password>@<host>:<port>#/<path>;<params>#?<query>#<frag>

path : exact string match

path_beg : prefix match #请求的URL开头,如/static、/images、/img、/css

path_end : suffix match #请求的URL中资源的结尾,如 .gif .png .css .js .jpg .jpeg

path_dom : domain match

path_dir : subdir match

path_len : length match

path_reg : regex match

path_sub : substring match

#示例:

path_beg -i /haproxy-status/

path_end .jpg .jpeg .png .gif

path_reg ^/images.*\.jpeg$

path_sub image

path_dir jpegs

path_dom magedu

url : string

#提取请求中的URL。一个典型的应用是具有预取能力的缓存,以及需要从数据库聚合多个信息并将它们保存在缓存中的网页门户入口,推荐使用path

url :exact string match

url_beg : prefix match

url_dir : subdir match

url_dom : domain match

url_end : suffix match

url_len : length match

url_reg : regex match

url_sub : substring match

dst #目标IP

dst_port #目标PORT

src #源IP

src_port #源PORT

#示例:

acl invalid_src src 10.0.0.100 192.168.1.0/24

acl invalid_port src_port 0:1023

status : integer

#返回在响应报文中的状态码

#七层协议

acl valid_method method GET HEAD

http-request deny if ! valid_method

ACL匹配模式

复制代码
-i 不区分大小写
-m 使用指定的pattern匹配方法
-n 不做DNS解析
-u 禁止acl重名,否则多个同名ACL匹配或关系

ACL调用方式:

复制代码
与:隐式(默认)使用
或:使用"or" 或 "||"表示
否定:使用 "!" 表示  

#示例:
if valid_src valid_port         #与关系,A和B都要满足为true,默认为与
if invalid_src || invalid_port  #或,A或者B满足一个为true
if ! invalid_src                #非,取反,A和B哪个也不满足为true

ACL示例-域名匹配

#cat /etc/haproxy/conf.d/test.cfg

frontend openlab_web

bind :80

mode http

balance roundrobin

log global

option httplog

###################### acl setting ###############################

acl pc_domain hdr_dom(host) -i www.yunjisuan.com

acl mobile_domain hdr_dom(host) -i mobile.yunjisuan.com

###################### acl hosts #################################

use_backend pc_hosts if pc_domain

use_backend mobile_hosts if mobile_domain

default_backend pc_hosts

###################### backend hosts #############################

backend mobile_hosts

mode http

server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5

backend pc_hosts

mode http

server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5

root@centos6 \~#curl www.yunjisuan.com

192.168.234.11

root@centos6 \~#curl mobile.yunjisuan.com

192.168.234.13

ACL示例-基于源地址的访问控制

拒绝指定IP或者IP范围访问

测试:

listen web_host

bind :80

mode http

balance roundrobin

log global

option httplog

###################### acl setting ###############################

acl acl_deny_src src 192.168.234.0/24

###################### acl hosts #################################

#block if acl_deny_src #2.1版本后,不再支持block

http-request deny if acl_deny_src

#http-request allow

default_backend default_web

###################### backend hosts #############################

backend magedu_host

mode http

server web1 192.168.234.11:80 check inter 2000 fall 3 rise 5

backend default_web

mode http

server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5

root@centos6 \~#curl www.yunjisuan.com

<html><body><h1>403 Forbidden</h1>Request forbidden by administrative rules.</body</html>

ACL示例-基于文件后缀名实现动静分离

复制代码
#cat /etc/haproxy/conf.d/test.cfg

frontend magedu_http_port

bind :80

mode http

balance roundrobin

log global

option httplog

###################### acl setting ###############################

acl acl_static path_end -i .jpg .jpeg .png .gif .css .js

acl acl_php path_end -i .php

###################### acl hosts #################################

use_backend mobile_hosts if acl_static

use_backend app_hosts if acl_php

###################### backend hosts #############################

backend mobile_hosts

mode http

server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5

backend app_hosts

mode http

server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5

#分别在后端两台主机准备相关文件

root@centos17 \~#ls /usr/share/nginx/html

index.html wang.jpg

root@centos27 \~#cat /usr/share/nginx/html/test.php

<?php phpinfo(); ?>

ACL-匹配访问路径实现动静分离

复制代码
#cat /etc/haproxy/conf.d/test.cfg

frontend magedu_http_port

bind :80

mode http

balance roundrobin

log global

option httplog

###################### acl setting ###############################

acl acl_static path_beg -i /static /images /javascript

acl acl_static path_end -i .jpg .jpeg .png .gif .css.js

###################### acl hosts #################################

use_backend static_hosts if acl_static

default_backend app_hosts

###################### backend hosts #############################

backend static_hosts

mode http

server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5

backend app_hosts

mode http

server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5

#创建相关文件

root@centos17 \~#mkdir /usr/share/nginx/html/static

root@centos17 \~#echo 192.168.234.13 > /usr/share/nginx/html/static/test.html

#测试访问

root@centos6 \~#curl 192.168.234.13/static/test.html

192.168.234.13

相关推荐
忡黑梨7 小时前
安装 Claude Code(使用 DeepSeek API)
网络·网络安全
云飞云共享云桌面7 小时前
搭建10人SolidWorks云设计环境:云飞云在非标自动化工厂的实测方案
运维·服务器·网络·数据库·自动化·电脑
江畔柳前堤7 小时前
第07章:Docker 网络模型
运维·网络·git·elasticsearch·docker·容器·架构
深盾科技_Virbox7 小时前
Virbox Protector 从何而来:深盾科技的软件保护演进
运维·数据库·科技
是个西兰花8 小时前
Linux:进程信号
linux·运维·服务器
云飞云共享云桌面8 小时前
智能装备制造数字化实测:10人SolidWorks云桌面部署,云飞云方案替代传统单机工作站
运维·服务器·网络·人工智能·制造
Urbano8 小时前
突破品类边界:数控模板机不止制衣,枕套等家居家纺自动化生产全科普
运维·自动化
CS创新实验室8 小时前
从“业余爱好”到数字基石:Linux 发展史及带给技术人的成长启示
linux·运维·服务器
江畔柳前堤8 小时前
第17章:Docker 大厂面试题精选(腾讯/阿里/字节/美团)
运维·网络·spring cloud·docker·容器·eureka
Biomamba生信基地8 小时前
FindNeighbors()函数报错object ‘CsparseMatrix_validate’ not found
linux·运维·服务器·生物信息学