Haproxy的ACL规则和获取样本
使用ACLs和获取样本Haproxy 能够从请求报文,响应报文,从客户端或者服务端信息,从表,环境信息等等中提取数据。提取这样的数据的动作我们称之为获取样本。进行检索时,这些样本可以用来实现各种目的,比如作为粘滞表的键,最常用的用途是,根据预定义的模式来进行匹配。访问控制列表(ACL)提供一个灵活方案进行内容切换,或者在从请求,响应,任何环境状态中提取的数据基础之上做出决策。控制列表的原则很简单:
[*] 从数据流,表,环境中提取数据样本
[*] 对提取的样本可选地应用格式转换
[*] 对一个样本应用一个或多个模式匹配
[*] 当模式匹配样本时才执行动作
执行的动作通常是阻断请求,选择一个后端服务器或者添加一个HTTP首部
需要提醒的是,获取的样本数据不光可以使用在acl中,也可以使用别处,例如记录log中
定义ACL的语法为:
acl [] ... 这样一条语句建立了一个acl 测试;
这些测试应用在请求或响应中被"标准"< criterion > 部分所指定的内容,而且可以指定[ flags] 进行特性调整,有些< criterion > 支持操作符 进行运算,同时一些转换格式的关键字可以跟在< criterion >后面,使用" , "隔开。而值[< value >] 要求被
< criterion > 所支持的数据形式,多个值使用空格分隔。
< criterion > 通常是指获取样本方法的名称。使用一个获取样本方法,暗含着其输出样本的类型,类型是以下列出的一种:
[*] boolean
[*] integer (signed or unsigned)
[*] IPv4 or IPv6 address
[*] string
[*] data block
ACL引擎匹配数据使用的模式类型如下:
[*] boolean
[*] integer or integer range
[*] IP address / network
[*] string (exact, substring, suffix, prefix, subdir, domain)
[*] regular expression
[*] hex block
ACL flags 可用列表如下:
[*] -i : 忽略大小写
[*] -f filename : 从文件中载入模式
[*] -m method : 指定模式匹配方法
[*] -n : 禁止DNS解析
[*] -M : -f 载入的文件作为映射文件使用
[*] -u : 强制ACL的名称唯一
[*] -- : 强制结束flag结束,避免了字符串中含有的- 引起混淆
其中flag中的 -m 选项可使用的模式匹配方法如下,需要说明的是有些方法已被默认指定无需声明,例如int,ip
[*] "found" : 只是用来探测数据流中是否存在指定数据,不进行任何比较
[*] "bool" : 检查结果返回布尔值。匹配没有模式,可以匹配布尔值或整数,不匹配0和false,其他值可以匹配
[*] "int" : 匹配整数类型数据;可以处理整数和布尔值类型样本,0代表false,1代表true
[*] "ip" : 匹配IPv4,IPv6地址类型数据。该模式仅被IP地址兼容,不需要特别指定
[*] "bin" : 匹配二进制数据
[*] "len" : 匹配样本的长度的整数值
[*] "str" : 精确匹配,根据字符串匹配文本
[*] "sub" : 子串匹配,匹配文本是否包含子串
[*] "reg" : 正则匹配,根据正则表达式列表匹配文本
[*] "beg" : 前缀匹配,检查文本是否以指定字符串开头
[*] "end" : 后缀匹配,检查文本是否以指定字符串结尾
[*] "dir" : 子目录匹配,检查部分文本中以" / "作为分隔符的内容是否含有指定字符串
[*] "dom" : 域匹配。检查部分文本中以" . "作为分隔符的内容是否含有指定字符串
如果获取样本值为整数,数值比较符可使用,:
eq : true if the tested value equals at least one value
ge : true if the tested value is greater than or equal to at least one value
gt : true if the tested value is greater than at least one value
le : true if the tested value is less than or equal to at least one value
lt : true if the tested value is less than at least one value
想必前面一堆理论性的论述已经把大家搞的晕头转向,下面结合获取样本方法和访问控制动作指令具体阐述ACL使用方法
先介绍控制动作指令
[*] layer 4 传输层控制指令
tcp-request connection[{if | unless} ] 对tcp请求控制指令
< condition > 即为ACL定义的访问控制列表
< action > 常用值有 "accept", "reject"
[*] layer 7 应用层控制指令
#阻断符合ACL的访问请求block { if | unless }
#http请求的控制指令http-request { allow | deny}[ { if | unless }]
[*] 后端主机调用
#根据条件来调用指定后端use_backend[{if | unless} ]
[*] 由ACL定义的多个< condition > 组成联合条件,逻辑符为
[*] and (默认操作符,可省略)
[*] or (或者使用 "||")
[*] ! (取反)
1 获取内部状态样本
# 与后端建立会话速率,每秒钟建立的新会话be_sess_rate([]) : integer Example :
# 某后端被请求过于繁忙,则重定向至错误页
mode http
acl being_scanned be_sess_rate gt 100
redirect location /denied.html if being_scanned
2 获取layer 4 样本
在传输层获取样本,通常是TCP/IP 协议的IP和端口,以及建立连接速率等等。而且此部分样本通常用于"tcp-request connection"指令中的规则之中。
dst : ip #目标地址
dst_port : integer
src : ip #源地址
src_port : integer
Example:
#阻断来自非指定IP的访问8080端口的请求acl myhost src 10.1.0.200acl myport dst_port 8080tcp-request connection reject if !myhost myport3 获取layer 7 样本
/1
path : string 提取请求url的地址信息,从第一个"/"开始,不包含host,不包含参数
ACL 衍生,即包含了-m 选项中匹配模式方法 :
path : exact string match
path_beg : prefix match
path_dir : subdir match
path_dom : domain match
path_end : suffix match
path_len : length match
path_reg : regex match
path_sub : substring match
Example:
#请求资源为图片,则调用图片服务器后端
acl picture path_end -i .jpg .png .gif
use_backend server_pic if picture
/2
url : string 提取URL的全部内容,包含host和参数ACL 衍生类似,不再列举
/3
req.hdr([[,]]) : string 提取http请求的指定首部字段值,< occ >可指定出现的位置ACL 衍生 :
hdr([[,]]) : exact string match
hdr_beg([[,]]) : prefix match
hdr_dir([[,]]) : subdir match
hdr_dom([[,]]) : domain match
hdr_end([[,]]) : suffix match
hdr_len([[,]]) : length match
hdr_reg([[,]]) : regex match
hdr_sub([[,]]) : substring match
Example:
#阻断火狐浏览器发送的请求acl firefox hdr_reg(User-Agent) -i .*firefox.*block if firefox /4
method : integer + string 提取请求报文中的请求方法Example:
#拒绝GET HEAD 方式之外的HTTP请求acl valid_method method GET HEAD
http-request deny if ! valid_method
4 内建ACL
HAProxy有众多内建的ACLs,这些ACLs可直接调用,例如
[*] LOCALHOST 匹配来自本地IP的连接,127.0.0.1/8
[*] HTTP_1.1 匹配http版本1.1
[*] METH_GET 匹配http请求GET或HEAD方法
[*] TRUE
[*] FALSE
Example:
#拒绝GET HEAD 方式之外的HTTP请求http-request deny if ! METH_GET
页:
[1]