Utilizați IP-ul la distanță Apache, dar solicitați ca IP-ul proxy să fie în rază

Am pus site-urile mele găzduite local în spatele Cloudflare pentru un nivel suplimentar de performanță.

Pentru a restabili IP-ul original de conectare, folosesc mod_remoteip, configurat cu toate intervalele IP Cloudflare.

De asemenea, vreau să configurez un site exclusiv pentru acces prin Cloudflare Access, restricționând accesul oricui încearcă să se conecteze ocolind Cloudflare Access.

Am citit online că poți face asta cu reguli precum Necesită ip xx.xx.xx.xx/24 (etc), dar acestea funcționează numai în situația mea dacă verific cu IP-ul proxy original, dar acesta a fost deja suprascris de mod_remoteip.

Există vreo modalitate de a aplica adresa IP proxy inițială sau de a cere ca cererea să aibă IP-ul rescris sau ceva de genul care ar face ceea ce am nevoie?

Pur și simplu configurați o formă de control al accesului bazat pe IP în afara Apache, într-un firewall sau într-un grup de securitate sau similar. Permiteți doar intervalele IP CloudFlare https://www.cloudflare.com/ips/ pentru a accesa porturile serverului dvs. web și nu veți fi detectat nicio solicitare care se declanșează în Apache.

Numai Apache mai complex:

Asigurați-vă că numai cererile de la CloudFlare sunt analizate de mod_remoteip :

mod_remoteip oferă RemoteIPTrustedProxyList unde puteți încărca cu ușurință versiunea text a listei de IP-uri CloudFlare

După ce v-ați asigurat că mod__remoteip se activează numai pentru IP-urile CloudFlare, puteți utiliza următoarele informații ascunse în documentație:

IP-ul clientului de bază al conexiunii este disponibil în șirul de format %{c}a.

Și apoi, potențial, bazați un control al accesului pe prezența acelui șir de format. Netestat:

<If "! %{c}a}”>

    Require all denied
</If>