Q&A
実施したという実際の設定内容を示してください (このコメント欄に書くのではなく、質問文を編集して書き加えてください)。
実現したいこと
ここに実現したいことを箇条書きで書いてください。
- nginxでIP直打ちをアクセス拒否したい
- サイトアクセスでIPアドレス直打ちを拒否したい
前提
使用しているWebサーバーはnginxで、IPアドレス直打ちした際に拒否したい
kusanagiのバージョンは9になります
発生している問題・エラーメッセージ
エラーメッセージ
該当のソースコード
ソースコード
試したこと
/etc/opt/kusanagi/nginx/の中にある、nginx.default.confに以下実施したが解決せず
https://kamotora.net/system/nginx/nginx-default_server/
https://qiita.com/3S_Laboo/items/56886d2ec6083454a24c
https://supilog.supisupi.com/blog/xt8vj37f3r88/
補足情報(FW/ツールのバージョンなど)
ここにより詳細な情報を記載してください。
回答2件
0
- nginxでIP直打ちをアクセス拒否したい
- サイトアクセスでIPアドレス直打ちを拒否したい
後者の「サイトアクセスで」というのは、KUSANAGIの設定で拒否を実現したいということかと思います (違ったら言ってください)。つまりWAFの設定で拒否できるようにしたいということかと思いますが、nginxだとWAF機能はNAXSIというnginx用のモジュールで実現されているらしく、結局WAFのルールもnginxの設定に記述することになりそうです。拒否を実現するNAXSIルールを書くこともできるのかもしれませんが、ここはシンプルに素のnginxの設定で実現したいと思います。
次に「IP直打ち」とは何か、ですが、次のようなことを指すのではないかと考えます。
- クライアント側でアクセス先のURLを入力する際にホスト部にIPアドレスを指定している (
Hostリクエストヘッダフィールドの値がIPアドレス)。 - クライアントがホスト名を指定しない (
Hostリクエストヘッダフィールドを持たない) リクエストを送信してくる。 - 使用する予定のないホスト名やでたらめなホスト名を指定している。
このうち2.は簡易な実装のボットなどで起きそうですが、そういうクライアントのアクセスを予定していないのなら拒否してもいいでしょう。現在、通常のユーザが使うブラウザがこのようなリクエストを送信してくることはありません。
なお3.はIPアドレスではなくホスト名ではあります。ところが、IPアドレスを逆引きした結果のホスト名 (しばしばサービスに使うホスト名とは異なる) を送ってくるものや、完全によそのサイトのホスト名を送ってくるものもいたりします。まともなクライアントとは思えないので、拒否してもいいと思います。
次に拒否の方法ですが、「nginxでエラーページを表示する」とのことなので、接続を切断したりするのではなく、なんらかのエラーを示すHTTPステータスコードを返すのがよさそうです。
今回の拒否に一番適切なのは421 Misdirected Requestでしょうか。上記の説明には次のように述べられています。
421 Misdirected Request
リクエストは、レスポンスを生成できないサーバーに送られました。 リクエストの URI に含まれているスキームや権限の組み合わせに対してレスポンスを生成するよう設定されていないサーバーが、このコードを送ることがあります。
では、設定を考えていきます。
Hostリクエストヘッダフィールドの値が特定のIPアドレスのものを拒否
既存の設定に、次の設定を追加します。server { listen 80; server_name 203.0.113.1; return 421; }- 上記1.に加えて、
Hostリクエストヘッダフィールドが指定されないものを拒否
既存の設定に、次の設定を追加します。
上の設定とは、server { listen 80; server_name 203.0.113.1 ""; return 421; }""の有無が異なるだけです。「""」はHostリクエストヘッダフィールドがないことを意味します。 - 上記1.、2.に加えて、使用しないホスト名を指定しているものも拒否。
既存の設定に、次の設定を追加します。
なお、ポートが同じでserver { listen 80 default_server; server_name _; return 421; }default_serverになっているserver節が別にある場合、そちらには明示的にserver_nameを割り振った上でdefault_serverを取り除く必要があります。
server_name _;はホスト名が「_」になるという意味ではなく、「その他なんでも」という意味になります。nginxのドキュメントによれば、ホスト名として有効でないものであれば「--」とか「!@#」なんかでも同じ意味になるということです。
つまり、クライアントが指定したホスト名をほかのserver節で見つけられなかった場合、(それがIPアドレスでもそうでなくても) すべてこのserver節で処理されます。
余談
今回の質問のテーマからやや外れますが、3.には、TLS (https) を使う場合は穴があります。SNI (TLS Server Name Indication) でTLSネゴシエーション中に決まるホスト名と、その後送られたリクエストのホスト名とが異なる場合、nginxでは後者がホスト名として認識されます。つまり、サーバ証明書のホスト名とは異なるホスト名のサービスにアクセスできてしまうおそれがあります。
これを防ぐためには、TLSを提供するserver節ではSNIホスト名とリクエストのホスト名が一致するかどうかをテストする必要があると思います。
server { listen 443 ssl; ... if ($ssl_server_name != $host) { return 421; } ... }
投稿2023/09/01 03:03
総合スコア4343
説明不足で申し訳ございません。
この度はご丁寧にご説明いただきありがとうございます。
いただいた内容で無事設定が適用されましたありがとうございます。
server {
listen 80 default_server;
server_name _;
return 421;
}
上記はhttpの時にアクセス拒否する設定ですが、
httpsの時どのような記載をしたら拒否されるかご教示いただけますと幸いです。
TLS (https) だとlistenディレクティブの設定内容が変わるほか、証明書の設定などを追加する必要がありますね。それ以外の、server_nameやreturnの設定は同じです。
しかしKUSANAGIだと、kusanagiコマンドを使ってSSLの設定ができるのではないでしょうか。中身はよく見てないですが、中の人による解説を見つけました。
https://www.prime-strategy.co.jp/column/archives/column_6040
これでSSLの設定をすませたうえで、server_nameやreturnの設定などを上記回答に従って手作業で追加・修正すればよいと思います。
せかすようで申し訳ないですが、質問した内容についてひととおり解決したら、ベストアンサーを選んで質問を解決ずみにしてください。
0
ポート番号は適宜変更してください。
server {
listen 80 ;
server_name _;
return 444;
}
投稿2023/08/31 11:11
総合スコア39
ご回答いただきありがとうございます。
いただいた内容はどの設定ファイルに記載したら適用されるか教えていただけますと幸いです。
/etc/opt/kusanagi/nginx/の中にある、「nginx.conf」、「nginx.default.conf」どちらに記載したらよろしいでしょうか。
nginxはどこのファイルに記載するという概念が無く
全ての設定はnginx.confに記載するのが基本です。
注意点はserverディレクティブはhttpディレクティブの内側なので
それを守ればどのファイルに記載して問題ありません。
nginx.conf内をご確認頂き
nginx.default.confをincludeする設定が記載されていれば
nginx.default.confに記載して
そうでなければnginx.conf内に記載してください。
ご返信ありがとうございます。
記入後、保存し「nginx -s reload」を実行しようとしたところ以下エラーが表示されました。
ポートの指定が適切ではないということでしょうか?
```
nginx: [emerg] "server" directive is not allowed here in /etc/opt/kusanagi/nginx/nginx.conf:80
```
環境依存です。
serverディレクティブを許可してください。
普通なら許可されています。
あとはnginxのバージョンアップでルールが変わった可能性もあります。
あなたの回答
tips
プレビュー
