varnish利用acl实现黑白名单

2013年4月28日 发表评论 阅读评论

像普通的web应用可以能过deny 和allow这样的参数设置黑白名单,当使用varnish直接监听80端口对外提供服务时,我们也可以通过vcl 规则来实现黑白名单的功能。

1、定义ACL,导入外部IP列表

acl forbidden {
include "/etc/varnish/chinaip.dat";
}

而chinaip.dat的内部如下:

"192.168.1.0"/24;
"10.0.0.0"/24;

2、通过vcl_recv策略实现黑白名单

if (client.ip ~ forbidden) {
error 505 "Forbidden";
}

上面是对黑名单中的IP禁止防问,如果想实现只允许某些IP访问,而其他IP不允许访问,就做取反就行了。

3、自定义错误页

利用obj.status参数,可以很方便的实现对不对代码实现不用的操作。如下,如果状态码为750 ,重定向至google,错误码为505直接返回varnish错误页。

sub vcl_error {
set obj.http.Content-Type = "text/html; charset=utf-8";
if (obj.status == 750) {
set obj.http.Location = "http://www.google.com/";
set obj.status = 302;
deliver;
}
else {
synthetic {"
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html>
<head>
<title>"} obj.status " " obj.response {"</title>
</head>
<body>
<h1>Error "} obj.status " " obj.response {"</h1>
<p>"} obj.response {"</p>
</body>
</html>
"};
}
return (deliver);
}

4、验证配置并生效

varnishd -d -f /etc/varnish/my.vcl
service varnish restart




本站的发展离不开您的资助,金额随意,欢迎来赏!

You can donate through PayPal.
My paypal id: itybku@139.com
Paypal page: https://www.paypal.me/361way

分类: 平台架构 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.