搜尋 virtual 結果:
由於 CDN 模式下,網站在判別 client ip 是透過 X-Forwarded-For 來判別來源IP
但因為 X-Forwarded-For 是可以偽裝的 header value,所以 hacker 會在裡面帶入特殊的IP,例如 127.0.0.1
這在正常 CDN 模式下,基本上應該沒有問題,因為程式上抓到的 X-Forwarded-For 會是最後一組IP
但萬一 client 端 不走CDN直連主機,開發者抓 client IP 是先抓 X-Forwarded-For,而不判斷網站是不是在 CDN 模式下
就會誤判來源IP。
解決方式可分為兩方面
1. 抓 X-Forworded-For 的 function 要判別內網IP (包括127.0.0.1),剔除掉
2. 網站程式判別白名單時,要用 Reuest.UserHostAddress 來判別內部IP
使用 ClientIP_After_CDN 只能用來判別外部IP
* 如果允許IP清單寫在系統參數或資料庫,但內容是 (內網IP + 外網IP)混用,最好是分開來
另外有一個防火牆的設定有關,也是建置網站很重要的設定
也就是設定 policy 時 wan -> virtual ip ,要記得把 NAT 關掉,
不然網站抓到的 UserHostAddress 都會是 190.168.x.254 之類的IP,這樣問題就大了。
但因為 X-Forwarded-For 是可以偽裝的 header value,所以 hacker 會在裡面帶入特殊的IP,例如 127.0.0.1
這在正常 CDN 模式下,基本上應該沒有問題,因為程式上抓到的 X-Forwarded-For 會是最後一組IP
但萬一 client 端 不走CDN直連主機,開發者抓 client IP 是先抓 X-Forwarded-For,而不判斷網站是不是在 CDN 模式下
就會誤判來源IP。
解決方式可分為兩方面
1. 抓 X-Forworded-For 的 function 要判別內網IP (包括127.0.0.1),剔除掉
2. 網站程式判別白名單時,要用 Reuest.UserHostAddress 來判別內部IP
使用 ClientIP_After_CDN 只能用來判別外部IP
* 如果允許IP清單寫在系統參數或資料庫,但內容是 (內網IP + 外網IP)混用,最好是分開來
另外有一個防火牆的設定有關,也是建置網站很重要的設定
也就是設定 policy 時 wan -> virtual ip ,要記得把 NAT 關掉,
不然網站抓到的 UserHostAddress 都會是 190.168.x.254 之類的IP,這樣問題就大了。
darren, 2022/3/1 下午 02:11:45
2016 / 10 / 30 搬機房, 有幾件事沒有做好, 記錄一下:
1. Firewall 沒設定好, 下次要一中兩個人一起設定.
2. 有一個客戶的 DNS 等了一整天才生效, 要檢查所有網站的 TTL 和 Refresh 時間, 最好都在一個小時以內.
3. Email 主機: 有些客戶原來是用 msa.hinet.net 這個 SMTP, 搬到非 Hinet 的機房後就不能寄信了.
4. 某一個客戶的 DNS 沒改好, 因為在自已的 DNS Server 上面看到有記錄, 就誤判是我們代管的, 應該要用 Hinet 或 Google 來確認 NS Record 為何. 已刪除它的 DNS 記錄.
5. 202 的 .8 網路線沒插好, 主機開起來後, 要確認可以從每一個介面 Ping 出去.
6. 新 Firewall , 內部 IP 無法連到 Virtual Server: --> 要由內部 IP 連線到 Virtual Server 測試. 最好是在 hosts 上面都有 127.0.0.1 的設定.
7. 最好不要在下半年換機房, 比較忙, 客戶的活動也比較多.
8. Windows 的 DNS 若是直接修改 DNS 檔案. 因為 SOA 的序號沒有修改, 所以 Client 伺服器要手動重新讀取資料.
9. 要記得改 TWNIC 的 DNS Server設定.
1. Firewall 沒設定好, 下次要一中兩個人一起設定.
2. 有一個客戶的 DNS 等了一整天才生效, 要檢查所有網站的 TTL 和 Refresh 時間, 最好都在一個小時以內.
3. Email 主機: 有些客戶原來是用 msa.hinet.net 這個 SMTP, 搬到非 Hinet 的機房後就不能寄信了.
4. 某一個客戶的 DNS 沒改好, 因為在自已的 DNS Server 上面看到有記錄, 就誤判是我們代管的, 應該要用 Hinet 或 Google 來確認 NS Record 為何. 已刪除它的 DNS 記錄.
5. 202 的 .8 網路線沒插好, 主機開起來後, 要確認可以從每一個介面 Ping 出去.
6. 新 Firewall , 內部 IP 無法連到 Virtual Server: --> 要由內部 IP 連線到 Virtual Server 測試. 最好是在 hosts 上面都有 127.0.0.1 的設定.
7. 最好不要在下半年換機房, 比較忙, 客戶的活動也比較多.
8. Windows 的 DNS 若是直接修改 DNS 檔案. 因為 SOA 的序號沒有修改, 所以 Client 伺服器要手動重新讀取資料.
9. 要記得改 TWNIC 的 DNS Server設定.
Bike, 2016/11/3 上午 11:05:19
用 Visual Studio 2013 時會遇到這個問題,解法如下:
http://techatplay.wordpress.com/2013/10/24/vs2013-asp-net-application-error-virtualpath-was-outside-the-current-application-root/
要關閉 "啟用瀏覽器連結" 的功能。
http://techatplay.wordpress.com/2013/10/24/vs2013-asp-net-application-error-virtualpath-was-outside-the-current-application-root/
要關閉 "啟用瀏覽器連結" 的功能。
Bike, 2014/2/13 下午 01:45:17
Windows 2008 的 SMTP 寄信時若遇到 "Helo command rejected: need fully-qualified hostname" ,可做以下的修改。
The fix is easy:
- Open IIS
- View the properties of you Default SMTP Virtual Server
- Go to the “Delivery” tab
- Click the “Advanced” button (in the bottom right corner)
- Under “Fully-qualified domain name” enter a domain name that points to the server
- Click Ok until you’re back to IIS
Bike, 2013/10/28 上午 09:50:56
在 IIS 7.0 網站下掛入的 virtual directory 預設是可以執行指令碼的,所以若是使用者上傳了 aspx, 那該 aspx 就可以執行.. 這會是一個很大的安全問題. 要解決這個, 必需在該目錄的處理常式對應中,把指令碼的功能取消. 看來又要做一次大檢查了.
1. 處理常式對應:
2. 編輯功能權限,並且把指令碼拿掉。
1. 處理常式對應:
2. 編輯功能權限,並且把指令碼拿掉。
Bike, 2012/7/30 下午 12:02:17