質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.39%
KUSANAGI

KUSANAGIとは、プライム・ストラテジー社が提供する高速化・最適化された仮想マシンイメージ。高いパフォーマンスと高度なセキュリティが特徴で、サーバーの立ち上げからカスタマイズすることなく、高速なWordPressを利用できます。

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

Q&A

2回答

598閲覧

IPアドレスでアクセスされた場合にnginxでエラーページを表示する方法

y-shida

総合スコア0

KUSANAGI

KUSANAGIとは、プライム・ストラテジー社が提供する高速化・最適化された仮想マシンイメージ。高いパフォーマンスと高度なセキュリティが特徴で、サーバーの立ち上げからカスタマイズすることなく、高速なWordPressを利用できます。

nginx

nginixは軽量で高性能なwebサーバーの1つです。BSD-likeライセンスのもとリリースされており、あわせてHTTPサーバ、リバースプロキシ、メールプロキシの機能も備えています。MacOSX、Windows、Linux、上で動作します。

0グッド

2クリップ

投稿2023/08/31 09:12

編集2023/08/31 09:28

実現したいこと

ここに実現したいことを箇条書きで書いてください。

  • nginxでIP直打ちをアクセス拒否したい
  • サイトアクセスでIPアドレス直打ちを拒否したい

前提

使用しているWebサーバーはnginxで、IPアドレス直打ちした際に拒否したい
kusanagiのバージョンは9になります

発生している問題・エラーメッセージ

エラーメッセージ

該当のソースコード

ソースコード

試したこと

/etc/opt/kusanagi/nginx/の中にある、nginx.default.confに以下実施したが解決せず

https://kamotora.net/system/nginx/nginx-default_server/
https://qiita.com/3S_Laboo/items/56886d2ec6083454a24c
https://supilog.supisupi.com/blog/xt8vj37f3r88/

補足情報(FW/ツールのバージョンなど)

ここにより詳細な情報を記載してください。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ikedas

2023/09/01 01:21

実施したという実際の設定内容を示してください (このコメント欄に書くのではなく、質問文を編集して書き加えてください)。
guest

回答2

0

  • nginxでIP直打ちをアクセス拒否したい
  • サイトアクセスでIPアドレス直打ちを拒否したい

後者の「サイトアクセスで」というのは、KUSANAGIの設定で拒否を実現したいということかと思います (違ったら言ってください)。つまりWAFの設定で拒否できるようにしたいということかと思いますが、nginxだとWAF機能はNAXSIというnginx用のモジュールで実現されているらしく、結局WAFのルールもnginxの設定に記述することになりそうです。拒否を実現するNAXSIルールを書くこともできるのかもしれませんが、ここはシンプルに素のnginxの設定で実現したいと思います。

次に「IP直打ち」とは何か、ですが、次のようなことを指すのではないかと考えます。

  1. クライアント側でアクセス先のURLを入力する際にホスト部にIPアドレスを指定している (Hostリクエストヘッダフィールドの値がIPアドレス)。
  2. クライアントがホスト名を指定しない (Hostリクエストヘッダフィールドを持たない) リクエストを送信してくる。
  3. 使用する予定のないホスト名やでたらめなホスト名を指定している。

このうち2.は簡易な実装のボットなどで起きそうですが、そういうクライアントのアクセスを予定していないのなら拒否してもいいでしょう。現在、通常のユーザが使うブラウザがこのようなリクエストを送信してくることはありません。
なお3.はIPアドレスではなくホスト名ではあります。ところが、IPアドレスを逆引きした結果のホスト名 (しばしばサービスに使うホスト名とは異なる) を送ってくるものや、完全によそのサイトのホスト名を送ってくるものもいたりします。まともなクライアントとは思えないので、拒否してもいいと思います。

次に拒否の方法ですが、「nginxでエラーページを表示する」とのことなので、接続を切断したりするのではなく、なんらかのエラーを示すHTTPステータスコードを返すのがよさそうです。

今回の拒否に一番適切なのは421 Misdirected Requestでしょうか。上記の説明には次のように述べられています。

421 Misdirected Request
リクエストは、レスポンスを生成できないサーバーに送られました。 リクエストの URI に含まれているスキームや権限の組み合わせに対してレスポンスを生成するよう設定されていないサーバーが、このコードを送ることがあります。

では、設定を考えていきます。

  1. Hostリクエストヘッダフィールドの値が特定のIPアドレスのものを拒否
    既存の設定に、次の設定を追加します。
    server { listen 80; server_name 203.0.113.1; return 421; }
  2. 上記1.に加えて、Hostリクエストヘッダフィールドが指定されないものを拒否
    既存の設定に、次の設定を追加します。
    server { listen 80; server_name 203.0.113.1 ""; return 421; }
    上の設定とは、""の有無が異なるだけです。「""」はHostリクエストヘッダフィールドがないことを意味します。
  3. 上記1.、2.に加えて、使用しないホスト名を指定しているものも拒否。
    既存の設定に、次の設定を追加します。
    server { listen 80 default_server; server_name _; return 421; }
    なお、ポートが同じでdefault_serverになっているserver節が別にある場合、そちらには明示的にserver_nameを割り振った上でdefault_serverを取り除く必要があります。
    server_name _;はホスト名が「_」になるという意味ではなく、「その他なんでも」という意味になります。nginxのドキュメントによれば、ホスト名として有効でないものであれば「--」とか「!@#」なんかでも同じ意味になるということです。
    つまり、クライアントが指定したホスト名をほかのserver節で見つけられなかった場合、(それがIPアドレスでもそうでなくても) すべてこのserver節で処理されます。

余談

今回の質問のテーマからやや外れますが、3.には、TLS (https) を使う場合は穴があります。SNI (TLS Server Name Indication) でTLSネゴシエーション中に決まるホスト名と、その後送られたリクエストのホスト名とが異なる場合、nginxでは後者がホスト名として認識されます。つまり、サーバ証明書のホスト名とは異なるホスト名のサービスにアクセスできてしまうおそれがあります。

これを防ぐためには、TLSを提供するserver節ではSNIホスト名とリクエストのホスト名が一致するかどうかをテストする必要があると思います。

server { listen 443 ssl; ... if ($ssl_server_name != $host) { return 421; } ... }

投稿2023/09/01 03:03

ikedas

総合スコア4441

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

y-shida

2023/09/01 09:19

説明不足で申し訳ございません。 この度はご丁寧にご説明いただきありがとうございます。 いただいた内容で無事設定が適用されましたありがとうございます。 server { listen 80 default_server; server_name _; return 421; } 上記はhttpの時にアクセス拒否する設定ですが、 httpsの時どのような記載をしたら拒否されるかご教示いただけますと幸いです。
ikedas

2023/09/01 23:55 編集

TLS (https) だとlistenディレクティブの設定内容が変わるほか、証明書の設定などを追加する必要がありますね。それ以外の、server_nameやreturnの設定は同じです。 しかしKUSANAGIだと、kusanagiコマンドを使ってSSLの設定ができるのではないでしょうか。中身はよく見てないですが、中の人による解説を見つけました。 https://www.prime-strategy.co.jp/column/archives/column_6040 これでSSLの設定をすませたうえで、server_nameやreturnの設定などを上記回答に従って手作業で追加・修正すればよいと思います。
ikedas

2023/09/07 02:20

せかすようで申し訳ないですが、質問した内容についてひととおり解決したら、ベストアンサーを選んで質問を解決ずみにしてください。
guest

0

ポート番号は適宜変更してください。

server {
listen 80 ;
server_name _;
return 444;
}

投稿2023/08/31 11:11

mamekinkanmame

総合スコア39

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

y-shida

2023/09/01 02:18

ご回答いただきありがとうございます。 いただいた内容はどの設定ファイルに記載したら適用されるか教えていただけますと幸いです。 /etc/opt/kusanagi/nginx/の中にある、「nginx.conf」、「nginx.default.conf」どちらに記載したらよろしいでしょうか。
mamekinkanmame

2023/09/01 02:45

nginxはどこのファイルに記載するという概念が無く 全ての設定はnginx.confに記載するのが基本です。 注意点はserverディレクティブはhttpディレクティブの内側なので それを守ればどのファイルに記載して問題ありません。 nginx.conf内をご確認頂き nginx.default.confをincludeする設定が記載されていれば nginx.default.confに記載して そうでなければnginx.conf内に記載してください。
y-shida

2023/09/01 06:39

ご返信ありがとうございます。 記入後、保存し「nginx -s reload」を実行しようとしたところ以下エラーが表示されました。 ポートの指定が適切ではないということでしょうか? ``` nginx: [emerg] "server" directive is not allowed here in /etc/opt/kusanagi/nginx/nginx.conf:80 ```
mamekinkanmame

2023/09/01 11:07

環境依存です。 serverディレクティブを許可してください。 普通なら許可されています。 あとはnginxのバージョンアップでルールが変わった可能性もあります。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.39%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問