HAProxy的ACL - 技术栈

访问控制列表（ACL，Access Control Lists）是一种基于包过滤的访问控制技术，它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配)，即对接收到的报文进行匹配和过滤，基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作，比如允许其通过或丢弃。

定义ACL匹配规范，即：判断条件

hdr string，提取在一个HTTP请求报文的首部

hdr（[<name> [，<occ>]]）：完全匹配字符串,header的指定信息，<occ> 表示在多值中使用的值的出现次数

hdr_beg（[<name> [，<occ>]]）：前缀匹配，header中指定匹配内容的begin

hdr_end（[<name> [，<occ>]]）：后缀匹配，header中指定匹配内容end

hdr_dom（[<name> [，<occ>]]）：域匹配，header中的domain name

hdr_dir（[<name> [，<occ>]]）：路径匹配，header的uri路径

hdr_len（[<name> [，<occ>]]）：长度匹配，header的长度匹配

hdr_reg（[<name> [，<occ>]]）：正则表达式匹配，自定义表达式(regex)模糊匹配

hdr_sub（[<name> [，<occ>]]）：子串匹配，header中的uri模糊匹配

#示例：

hdr(<string>) 用于测试请求头部首部指定内容

hdr_dom(host) 请求的host名称，如 www.magedu.com

hdr_beg(host) 请求的host开头，如 www. img. video. download. ftp.

hdr_end(host) 请求的host结尾，如 .com .net .cn

#示例：

acl bad_agent hdr_sub(User-Agent) -i curl wget

block if bad_agent

#有些功能是类似的，比如以下几个都是匹配用户请求报文中host的开头是不是www：

acl short_form hdr_beg(host) www.

acl alternate1 hdr_beg(host) -m beg www.

acl alternate2 hdr_dom(host) -m beg www.

acl alternate3 hdr(host) -m beg www.

base : string

#返回第一个主机头和请求的路径部分的连接，该请求从第一个斜杠开始，并在问号之前结束,对虚拟主机有用

base : exact string match

base_beg : prefix match

base_dir : subdir match

base_dom : domain match

base_end : suffix match

base_len : length match

base_reg : regex match

base_sub : substring match

path : string

#提取请求的URL路径，该路径从第一个斜杠开始，并在问号之前结束（无主机部分）

path : exact string match

path_beg : prefix match #请求的URL开头，如/static、/images、/img、/css

path_end : suffix match #请求的URL中资源的结尾，如 .gif .png .css .js .jpg .jpeg

path_dom : domain match

path_dir : subdir match

path_len : length match

path_reg : regex match

path_sub : substring match

#示例：

path_beg -i /haproxy-status/

path_end .jpg .jpeg .png .gif

path_reg ^/images.*\.jpeg$

path_sub image

path_dir jpegs

path_dom magedu

url : string

#提取请求中的URL。一个典型的应用是具有预取能力的缓存，以及需要从数据库聚合多个信息并将它们保存在缓存中的网页门户入口，推荐使用path

url ：exact string match

url_beg : prefix match

url_dir : subdir match

url_dom : domain match

url_end : suffix match

url_len : length match

url_reg : regex match

url_sub : substring match

dst #目标IP

dst_port #目标PORT

src #源IP

src_port #源PORT

#示例：

acl invalid_src src 10.0.0.100 192.168.1.0/24

acl invalid_port src_port 0:1023

status : integer

#返回在响应报文中的状态码

#七层协议

acl valid_method method GET HEAD

http-request deny if ! valid_method

ACL匹配模式

复制代码

-i 不区分大小写
-m 使用指定的pattern匹配方法
-n 不做DNS解析
-u 禁止acl重名，否则多个同名ACL匹配或关系

ACL调用方式：

复制代码

与：隐式（默认）使用
或：使用"or" 或 "||"表示
否定：使用 "!" 表示  

#示例：
if valid_src valid_port         #与关系，A和B都要满足为true，默认为与
if invalid_src || invalid_port  #或，A或者B满足一个为true
if ! invalid_src                #非，取反，A和B哪个也不满足为true

ACL示例-域名匹配

#cat /etc/haproxy/conf.d/test.cfg

frontend openlab_web

bind :80

mode http

balance roundrobin

log global

option httplog

###################### acl setting ###############################

acl pc_domain hdr_dom(host) -i www.yunjisuan.com

acl mobile_domain hdr_dom(host) -i mobile.yunjisuan.com

###################### acl hosts #################################

use_backend pc_hosts if pc_domain

use_backend mobile_hosts if mobile_domain

default_backend pc_hosts

###################### backend hosts #############################

backend mobile_hosts

mode http

server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5

backend pc_hosts

mode http

server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5

root@centos6 \~\]#curl www.yunjisuan.com 192.168.234.11 \[root@centos6 \~\]#curl mobile.yunjisuan.com 192.168.234.13 ## ACL示例-基于源地址的访问控制 拒绝指定IP或者IP范围访问 测试： listen web_host bind :80 mode http balance roundrobin log global option httplog ###################### acl setting ############################### acl acl_deny_src src 192.168.234.0/24 ###################### acl hosts ################################# #block if acl_deny_src #2.1版本后，不再支持block http-request deny if acl_deny_src #http-request allow default_backend default_web ###################### backend hosts ############################# backend magedu_host mode http server web1 192.168.234.11:80 check inter 2000 fall 3 rise 5 backend default_web mode http server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5 \[root@centos6 \~\]#curl www.yunjisuan.com \\\403 Forbidden\Request forbidden by administrative rules.\ ## ACL示例-基于文件后缀名实现动静分离 #cat /etc/haproxy/conf.d/test.cfg frontend magedu_http_port bind :80 mode http balance roundrobin log global option httplog ###################### acl setting ############################### acl acl_static path_end -i .jpg .jpeg .png .gif .css .js acl acl_php path_end -i .php ###################### acl hosts ################################# use_backend mobile_hosts if acl_static use_backend app_hosts if acl_php ###################### backend hosts ############################# backend mobile_hosts mode http server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5 backend app_hosts mode http server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5 #分别在后端两台主机准备相关文件 \[root@centos17 \~\]#ls /usr/share/nginx/html index.html wang.jpg \[root@centos27 \~\]#cat /usr/share/nginx/html/test.php \ ## ACL-匹配访问路径实现动静分离 #cat /etc/haproxy/conf.d/test.cfg frontend magedu_http_port bind :80 mode http balance roundrobin log global option httplog ###################### acl setting ############################### acl acl_static path_beg -i /static /images /javascript acl acl_static path_end -i .jpg .jpeg .png .gif .css.js ###################### acl hosts ################################# use_backend static_hosts if acl_static default_backend app_hosts ###################### backend hosts ############################# backend static_hosts mode http server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5 backend app_hosts mode http server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5 #创建相关文件 \[root@centos17 \~\]#mkdir /usr/share/nginx/html/static \[root@centos17 \~\]#echo 192.168.234.13 \> /usr/share/nginx/html/static/test.html #测试访问 \[root@centos6 \~\]#curl 192.168.234.13/static/test.html 192.168.234.13