Todo el tráfico llega a mi servidor IIS a través de un proxy. No puedo bloquear o poner en la lista blanca las direcciones IP porque todo el tráfico proviene de la dirección IP del proxy.
¿Puedo usar el encabezado X-Forwarded-For con IIS?
Yo procedería con precaución utilizando un encabezado HTTP para el filtrado de IP, ya que el cliente puede controlarlos a menos que su servidor web tenga esto en cuenta cuando reenvíe su solicitud.
¿Qué sucede si yo, como no autorizado, envío X-Forwarded-For en mis encabezados? ¿Su servidor web agregará un X-Forwarded-For adicional? ¿Lo agregará debajo o arriba del mío? ¿En cuál usará el IIS para validar?
Estas son preguntas que debe poder responder antes de implementar cualquier confianza en el valor del encabezado.
Editar : no conozco una mejor alternativa, pero si te diriges a la pregunta, deberías poder responder primero las preguntas. No estoy hablando de pasar a través de varios servidores proxy, pero ¿qué sucede si pongo mi propio encabezado X-Forwarder-For en la parte inferior de mi solicitud? ¿Su proxy agregará otro más arriba? ¿Habrá dos X-Forwarder-For? ¿Cuál será el servidor web?
ModSecurity tiene esta capacidad ya que tiene plena visibilidad de la transacción. Lo que significa que puede inspeccionar los encabezados y la carga útil tanto en la solicitud como en la respuesta. Solo necesitas crear una regla para esta condición. Hay una advertencia, aunque ModSecurity fue escrito por Microsoft y Trustwave se considera soporte comunitario. Si esta es una aplicación de producción, no podrá llamar al Soporte de Microsoft para obtener ayuda. Con eso, las listas de correo de ModSecurity son excelentes y los ingenieros de Trustwave son muy útiles. Si necesita soporte pagado para las reglas, Trustwave tiene un servicio que ofrece esto así como un conjunto de reglas comerciales (similar al modelo de snort).
Otros firewalls de aplicaciones web (WAF) funcionarían, pero ModSecurity es gratuito.
Esta pregunta en Stack Overflow es, en principio, la misma pregunta.
Puede usar el módulo de reescritura de URL para realizar el filtrado agregando una condición alrededor de la variable {HTTP_X_FORWARDED_FOR} como se describe en esta respuesta.
Alternativamente, la otra respuesta describe un método mediante el cual puede configurar la dirección IP de nuevo a su pre -proxy value con una regla de reescritura global. (Personalmente, creo que si haces eso, es posible que también desees agregar un encabezado X-Forwarded-By ). Luego, puedes escribir las reglas normales de cualquier tipo que quieras para hacer el filtrado.
Sin embargo, en general, estoy de acuerdo con comment by vcsjones en su pregunta en la que él / ella sugiere que realice este filtrado en el proxy, si esa es una opción disponible.
Lea otras preguntas en las etiquetas web-application network http