Проблема в работе satisfy (nginx)

W

world

New member
Здравствуйте! Наблюдается проблема в работе satisfy ( https://nginx.org/ru/docs/http/ngx_http_core_module.html#satisfy ), если подключён модуль nwaf в nginx.
Имеется блок в конфигурационном файле виртуального хоста
location / {
satisfy any;
allow 10.0.0.0/8;
deny all;
# Далее две строки для использование
стороннего сервиса SSO авторизации
auth_request /oauth2/auth;
error_page 401 = /oauth2/start;

proxy_pass http://ip-address/;
proxy_redirect off;
}
В данном виде не срабатывает satisfy и в итоге приложение на http://ip-address/ доступно для всех, а должно пропускать без авторизации (auth_request) только клиентов с 10.0.0.0/8, а клиентов не из 10.0.0.0/8 отправлять на авторизацию (SSO). Если отключить nwaf в nginx.conf (закомментировать подключение конфигов), то всё работает как надо - приложение доступно для 10.0.0.0/8 без редиректа на сервис SSO, а для всех остальных происходит редирект на сервис SSO. Уточните, пожалуйста, данная проблема является багом nwaf или же это правильное поведение? Может быть нужно изменить какие-то настройки nwaf, чтобы satisfy работал? Отключение nwaf для хоста (nwaf_host_wl) не помогает.

Спасибо!
 
Здравствуйте!

Спасибо, что обратили внимание. Проблема будет исправлена в ближайшем обновлении компонента, но пока рекомендуем воздержаться от использования опции satisfy со значением any при активации динамического модуля.
 
world said:
Здравствуйте! Наблюдается проблема в работе satisfy ( https://nginx.org/ru/docs/http/ngx_http_core_module.html#satisfy ), если подключён модуль nwaf в nginx.
Имеется блок в конфигурационном файле виртуального хоста
location / {
satisfy any;
allow 10.0.0.0/8;
deny all;
# Далее две строки для использование
стороннего сервиса SSO авторизации
auth_request /oauth2/auth;
error_page 401 = /oauth2/start;

proxy_pass http://ip-address/;
proxy_redirect off;
}
В данном виде не срабатывает satisfy и в итоге приложение на http://ip-address/ доступно для всех, а должно пропускать без авторизации (auth_request) только клиентов с 10.0.0.0/8, а клиентов не из 10.0.0.0/8 отправлять на авторизацию (SSO). Если отключить nwaf в nginx.conf (закомментировать подключение конфигов), то всё работает как надо - приложение доступно для 10.0.0.0/8 без редиректа на сервис SSO, а для всех остальных происходит редирект на сервис SSO. Уточните, пожалуйста, данная проблема является багом nwaf или же это правильное поведение? Может быть нужно изменить какие-то настройки nwaf, чтобы satisfy работал? Отключение nwaf для хоста (nwaf_host_wl) не помогает.

Спасибо!
Click to expand...
Добрый день!

Мы выпустили обновление для динамического модуля, где была решена проблема применения опции satisfy any. Рекомендуем обновить пакет nwaf-dyn до актуальной версии: 5.1.3229.
 
You must log in or register to reply here.
Back
Top