ちゃんるいすのブログ

オタクエンジニアの雑記

Cloudflare からプロキシされたアクセスを Nginx の real_ip_header でクライアントの IP アドレスを記録しつつ、Cloudflare からのアクセスのみを許可する


「お前のタイトル良く分かんねえんだけど?」

アクセスログに Cloudflare じゃなくてクライアント IP にしたい!&Cloudflare からのみアクセスしたい!

セキュリティ向上!

1. Cloudflare からプロキシされたアクセスを Nginx のアクセスログのクライント IP を正しいのにする

(正しいっていう表現は間違ってるけど!)

set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/12;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 173.245.48.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2600:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2c0f:f248::/32;
set_real_ip_from 2a06:98c0::/29;
real_ip_header CF-Connecting-IP;

よくあるやつ。

2. Cloudflare からのアクセスのみ許可する

Location / {
    allow 103.21.244.0/22;
    deny all;
    proxy_pass http://hoge;
}

これで実現はできない。 全部のアクセスが弾かれる。

これは 評価順と real_ip_header の問題で前提として real_ip_header はクライントに関する情報を CF-Connecting-IP上書きされる。 ということは allow で評価されるクライアント IP も既に Cloudflare の IP ではなく、クライアントの IP で評価されるため。

じゃあどうするかというと面倒だけど $realip_remote_addr と map を使う。

解決

  1. アクセスログ問題はそのままで OK

Cloudflare からのアクセスのみ許可する

geo $realip_remote_addr $cf {
        default 0;
        # IPv4
        173.245.48.0/20 1;
        103.21.244.0/22 1;
        103.22.200.0/22 1;
        103.31.4.0/22 1;
        141.101.64.0/18 1;
        108.162.192.0/18 1;
        190.93.240.0/20 1;
        188.114.96.0/20 1;
        197.234.240.0/22 1;
        198.41.128.0/17 1;
        162.158.0.0/15 1;
        104.16.0.0/12 1;
        172.64.0.0/13 1;
        131.0.72.0/22 1;
        # IPv6
        2400:cb00::/32 1;
        2606:4700::/32 1;
        2803:f800::/32 1;
        2405:b500::/32 1;
        2405:8100::/32 1;
        2a06:98c0::/29 1;
        2c0f:f248::/32 1;
}

location / {
    if ($cf = 0)
        return 403;
    }
}

とすればOK

そして、この IP たちをどうやって更新していくかというと