访问控制设定:

匹配后可进行那些操作:

  Use _backend :   当符合条件时使用特定的backend后端,

    Use_backend  <backend> [{if | unless}  <condition>]

  Block             阻塞

    Block {if | unless} <condition>

Acl  invalid_src  src  172.16.200.2   定义acl匹配

Block  if invalid_src               若来自这个地址进行阻塞

Errorfile    /etc/fstab       定义错误页

例如1

  http-request :         http请求

    http-request {allow  | deny} [{ if | unless}  <condition>]

  tcp-request:

    tcp-request  connection {allow | deny} [{if | unless}  <condition>]

acl:这里他的匹配条件有多种,可以使原地址,也可以是目标地址,目标端口,请求的资源类型,使用的方法等一切

格式:

  Acl  <name> < 检查哪些内容> [flags]  [operator条件] [<value>]

contion检查条件:

Dst : ip     检查后端的ip

Dst_port :     检查后端的端口

Dst_conn     检查后端的套接字

Src   :  ip   检查原ip

Src_port       检查原端口

fLags :

-i : 忽略字符大小写

-m: 使用特定匹配方式

-n : 禁止主机名反解

-u : acl不能与其他acl同名

--  :  表示结束标志位

Operator:

整数: eq  ge  gt  le  lt

字符串:(之前)

-m  str  : 精确匹配

-m  sub  : 子串匹配

-m  beg  : 前缀匹配

-m  end  :   后缀匹配

-m  dir   : 路径匹配

-m  con  : 域名匹配

Acl作为条件时的逻辑关系:

··         And             与

Or   ||    或

非  !          非

 

<value> 的类型可以是:

Boolean : 布尔值

Int  :   整数或一个整数范围

Ip   :   ip地址

Str   :   是一个字符串  进行匹配,有多重匹配方式

如  acl  invalid_src  src   172.16.200.2   检查原目标地址 是172.16.200.2 就符号条件

如:

定义一个acl: acl  allowstats  src  172.168.200.2   定义acl匹配原ip

定义一个配置后的规则: block   if  ! allowstats    阻塞除上原ip之外的其他地址访问

在阻塞后自定义错误页:

 errorloc    http://172.16.0.67:10080/errorloc/403.html

http-request  allow  if  allowstats  : 来自acl定义的这个运行访问

七层的匹配标准有:

  

Path 路径 (/imgs/logs/log.jpg)

Path:  精确匹配                                   (path /imgs/logs/log.jpg )

Path_beg  :前缀匹配                               (path_beg  /imgs)

Path_end  : 后缀匹配                            (path_end  .jpg)

Path_reg : z正则表达式模式匹配      (path_reg  ^/imgs/*)

Path_sub : 子串匹配                               (path_sub   logs)

Path_dir  : 子路径匹配                      (path_dir  logs/log.ipg)

Path_dom :  域名子串匹配

如;

Acl  static  path_end  .jpg  .jpeg  .git  .txt  .html

Usr_backend  staticserver( 后面定义的特定后端)  if   static   如果是acl中定义的就调用staticserver这个后端

url  : str

url : 精确url  匹配

url_beg

url_end

url_dir

url_reg

url_sub

url_dom

req.hdr    :请求报文的指定首部

hdr : 精确url  匹配

hdr_beg

hdr _end

hdr _dir

hdr _reg

hdr _sub

hdr _dom

如:

Acl  bad_curl  hdr_sub(user-Agent)  -i  curl   请求报文首部包含cutl这个字符串的请求

Block  if  bad_curl                                   拒绝curl 访问

haproxy4-acl配置的更多相关文章

  1. linux下通过acl配置灵活目录文件权限(可用于ftp,web服务器的用户权限控制)

    linux下通过acl配置灵活目录文件权限(可用于ftp,web服务器的用户权限控制) 发表于2012//07由feng linux 本身的ugo rwx的权限,对于精确的权限控制很是力不从心的,ac ...

  2. 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。

    场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...

  3. consul之:ACL配置使用

    consul自带ACL控制功能,看了很多遍官方文档,没有配置步骤https://www.consul.io/docs/internals/acl.html 主要对各种配置参数解释,没有明确的步骤,当时 ...

  4. consul集群搭建以及ACL配置

    由于时间匆忙,要是有什么地方没有写对的,请大佬指正,谢谢.文章有点水,大佬勿喷这篇博客不回去深度的讲解consul中的一些知识,主要分享的我在使用的时候的一些操作和遇见的问题以及解决办法.当然有些东西 ...

  5. Centos Consul集群及Acl配置

    一,准备工作 准备四台centos服务器,三台用于consul server 高可用集群,一台用于consul client作服务注册及健康检查.架构如下图所示 二,在四台服务器上安装consul 1 ...

  6. 基本的访问控制列表ACL配置

    摘要: 访问控制列表ACL (Access Control L ist)是由permit或 deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址.目的地址.源端口.目的端口等信息  来 ...

  7. 运维小姐姐说这篇Consul集群和ACL配置超给力(保姆级)

    前言 上一篇简单介绍了Consul,并使用开发模式(dev)进行流程演示,但在实际开发中需要考虑Consul的高可用和操作安全性,所以接着来聊聊集群和ACL的相关配置,涉及到的命令会在环境搭建过程中详 ...

  8. CISCO ACL配置

    ACL:access(访问)control(控制)list(列表),用来实现防火墙规则. 访问控制列表的原理对路由器接口来说有两个方向出:已经经路由器的处理,正离开路由器接口的数据包入:已经到达路由器 ...

  9. CISCO ACL配置(目前)

    什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制 ...

  10. Cisco VLAN ACL配置

    什么是ACL? ACL全称访问控制列表(Access Control List),主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包, 是控制访问的一种网络技术手段, ACL适用于所有的被路由 ...

随机推荐

  1. 分布式版本控制系统 Git 的安装与使用

    作业的要求来自于:https://edu.cnblogs.com/campus/gzcc/GZCC-16SE2/homework/2097 远端库地址:https://github.com/CJL29 ...

  2. palacehoder的自定义样式【输入框input /文本域textarea】

    7.palacehoder的自定义样式[输入框input /文本域textarea] 因为每个浏览器的CSS选择器都有所差异,所以需要针对每个浏览器做单独的设定(可以在冒号前面写input和texta ...

  3. elasticsearch-head的安装

    elasticsearch-head是es的一个可视化的客户端插件,可以直接对ES进行增删改查操作,安装前需要先安装NODEJS: 安装: 1.到git上下载源代码: # git clone git: ...

  4. Mac新手入门使用教程 - Finder 技巧

    1,了解MAC电脑桌面.   Finder:中间DOCK栏下最左边蓝白相间的图标. DOCK栏:包括Finder.前往应用程序.创建所有应用程序的快捷方式(google浏览器等).系统偏好设置.堆栈. ...

  5. selenium各版本jar包下载地址

    http://selenium-release.storage.googleapis.com/index.html

  6. MySQL巧建sum索引帮我们提高至少100%的效率

    有两个表,表a CREATE TABLE `a` ( `id` mediumint() unsigned NOT NULL AUTO_INCREMENT, `fid` ) unsigned ', `c ...

  7. 关于dfs

    DFS 关于dfs,我的理解就是深度搜索,找到所有与入口相连的路径,可以用于迷宫求出口,利用递归的思想,进行搜索返回所有值. 比如,给你两个值分别表示迷宫的长和宽,迷宫有一个入口,一个出口,判断能否从 ...

  8. Javamail pop3连接QQ邮箱遇到最深的坑

    在使用pop3邮箱连接QQ邮箱接受邮件的时候遇到如下错误 Login fail. A secure connection is requiered(such as ssl) 此时按照错误提示添加如下配 ...

  9. jquery获取value值时将数字型字符串前面的0自动截取处理方法

    <li class="cwhite" value="02" id="02" onclick="getQuestionList ...

  10. 2018-2019-2 20165234 《网络对抗技术》 Exp3 免杀原理与实践

    实验三 免杀原理与实践 实验内容 1.正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧:(1.5分) 2.通过 ...