【待反馈】Nginx防火墙中开启cdn，因无法限制cdn回源IP导致

为了能快速了解并处理您的问题，请提供以下基础信息：

面板、插件版本：9.1.0 Nginx防火墙 9.5.1

系统版本：debian12

问题描述：因为不是全部流量过cdn，为了防止没有过cdn的流量伪造来源地址，需要限制回源IP

相关截图（日志、错误）：

运维技术阿闯 · 发表于 2024-9-13 11:43:57

您好，您开启cdn后，在nginx防火墙-网站防护-开启cdn的站点设置-

tossp · 发表于 2024-9-13 12:08:39

本帖最后由 tossp 于 2024-9-13 12:09 编辑

答非所问啊，不是功能没生效，是要配置可信的回源IP

你看那里的两个用户IP 114.114.114.114 和 1.1.1.1 这么知名的两个IP，这是我在请求头中伪造的入侵IP啊

monface · 发表于 2024-9-13 14:52:11

系统防火墙增加IP白名单呢？

运维技术阿闯 · 发表于 2024-9-13 15:48:56

没有开cdn怎么会有回源ip呢

tossp · 发表于 2024-9-13 16:37:01

本帖最后由 tossp 于 2024-9-13 16:38 编辑

运维技术阿闯发表于 2024-9-13 15:48
没有开cdn怎么会有回源ip呢

cdn已经开了，所以waf才被伪造的IP的欺骗了

tossp · 发表于 2024-9-13 16:37:49

monface 发表于 2024-9-13 14:52
系统防火墙增加IP白名单呢？

不行的，流量不是全部来自cdn，也允许直连流量

运维技术阿闯 · 发表于 2024-9-13 17:23:53

您好，尝试nginx防火墙的ip黑白名单呢

tossp · 发表于 2024-9-13 17:29:26

运维技术阿闯发表于 2024-9-13 17:23
您好，尝试nginx防火墙的ip黑白名单呢

不要求一定要从cdn过来的，直连流量也是需要支持的

运维技术阿闯 · 发表于 2024-9-13 18:04:18

tossp 发表于 2024-9-13 17:29
不要求一定要从cdn过来的，直连流量也是需要支持的

您好，开启了cdn，直连流量也是支持的呀，关于这个具体的，cdn那边可以给您更好的解答

tossp · 发表于 2024-9-13 22:03:37

所以功能缺陷是一点都不承认？
就直接回答我，能不能配置可信回源IP，如果能怎么配置

运维技术阿闯 · 发表于 2024-9-14 09:37:23

tossp 发表于 2024-9-13 22:03
所以功能缺陷是一点都不承认？
就直接回答我，能不能配置可信回源IP，如果能怎么配置 ...

您好，没有说功能缺陷呀，您问的是cdn方面的是否可以直连接的，关于设置的，这个要自己单独设置header头部
然后把这个header 头部加入到CDN 设置里面去