Здравствуйте! Наблюдается проблема в работе satisfy ( https://nginx.org/ru/docs/http/ngx_http_core_module.html#satisfy ), если подключён модуль nwaf в nginx.
Имеется блок в конфигурационном файле виртуального хоста
location / {
satisfy any;
allow 10.0.0.0/8;
deny all;
# Далее две строки для использование
стороннего сервиса SSO авторизации
auth_request /oauth2/auth;
error_page 401 = /oauth2/start;
proxy_pass http://ip-address/;
proxy_redirect off;
}
В данном виде не срабатывает satisfy и в итоге приложение на http://ip-address/ доступно для всех, а должно пропускать без авторизации (auth_request) только клиентов с 10.0.0.0/8, а клиентов не из 10.0.0.0/8 отправлять на авторизацию (SSO). Если отключить nwaf в nginx.conf (закомментировать подключение конфигов), то всё работает как надо - приложение доступно для 10.0.0.0/8 без редиректа на сервис SSO, а для всех остальных происходит редирект на сервис SSO. Уточните, пожалуйста, данная проблема является багом nwaf или же это правильное поведение? Может быть нужно изменить какие-то настройки nwaf, чтобы satisfy работал? Отключение nwaf для хоста (nwaf_host_wl) не помогает.
Спасибо!
Имеется блок в конфигурационном файле виртуального хоста
location / {
satisfy any;
allow 10.0.0.0/8;
deny all;
# Далее две строки для использование
стороннего сервиса SSO авторизации
auth_request /oauth2/auth;
error_page 401 = /oauth2/start;
proxy_pass http://ip-address/;
proxy_redirect off;
}
В данном виде не срабатывает satisfy и в итоге приложение на http://ip-address/ доступно для всех, а должно пропускать без авторизации (auth_request) только клиентов с 10.0.0.0/8, а клиентов не из 10.0.0.0/8 отправлять на авторизацию (SSO). Если отключить nwaf в nginx.conf (закомментировать подключение конфигов), то всё работает как надо - приложение доступно для 10.0.0.0/8 без редиректа на сервис SSO, а для всех остальных происходит редирект на сервис SSO. Уточните, пожалуйста, данная проблема является багом nwaf или же это правильное поведение? Может быть нужно изменить какие-то настройки nwaf, чтобы satisfy работал? Отключение nwaf для хоста (nwaf_host_wl) не помогает.
Спасибо!