长亭百川云 - 技术讨论

错误码状态码拦截测试失败!!!

讨论已关闭

发布于 2 个月前

# 雷池 WAF
# 问题反馈

发布于 2 个月前

头像

🇴 🇴 🇴

更新于 2 个月前

0

0

中间层的nginx中给网站加了密码 这种401是不是拦截不住啊? 而且输入密码后才弹出动态加密的动画 说明这个认证跑到前面去了 刚刚更新的最新版6.10.5

1df5e509d170cb48a953afa3f0a3d54.png
image.png

头像

雷池 - 小小

管理员

更新于 2 个月前

0

0

网络拓扑是怎样的

头像

🇴 🇴 🇴

更新于 2 个月前

雷池中通配符域名到 nginx到 网站
nginx中配置了密码 如上图
外面通过雷池访问时发现要先输入密码 输入密码后弹出动态加密的动画

头像

🇴 🇴 🇴

更新于 2 个月前

我感觉我对这个功能好像有误解 测试所有网站底下产生的401 404都同样不被拦截

image.png

头像

🇴 🇴 🇴

更新于 2 个月前

image.png

我理解的是waf中指定时间产生了4xx就会拦截了 数据统计中有4XX存在 但是我的回复截图中并未被拦截

头像

雷池 - 小小

管理员

更新于 2 个月前

0

0

auth basic 是在哪个 nginx 写的,经过 waf 了吗

头像

🇴 🇴 🇴

更新于 2 个月前

中间层nginx啊
所有的网站都经过啊 就一个出口 用通配符的下面是我雷池的配置 所有操作我尽量不在雷池上面的
而且不经过waf 肯定不会出现动态网页的

image.png

image.png
image.png

头像

雷池 - 小小

管理员

更新于 2 个月前

0

0

是 nginx - waf - nginx 的走向吗

头像

🇴 🇴 🇴

更新于 2 个月前

waf到我的nagx waf肯定是最外层

头像

🇴 🇴 🇴

更新于 2 个月前

这个问题那边很好复现的

头像

🇴 🇴 🇴

更新于 2 个月前

0

0

7.0.0仍然有该问题

头像

雷池 - 小小

管理员

更新于 2 个月前

0

0

我们无法复现此问题,要么你具体给出详细的网络拓扑,每一层的代理配置给我们参考

头像

🇴 🇴 🇴

更新于 2 个月前

如果您那边复现不了 我们可以远程连线看下 网络拓扑我觉得没问题 感觉是雷池和我用的都是nginx 产生了某种冲突
群晖系统DSM7.2

雷池
所在地:docker
网站监听:通配符域名+端口9999 (已开启https)
上有服务器配置:本地+端口10000 (http)
配置详情:
image.png

上游服务器:nginx
所在地:docker
网站监听:具体域名+端口10000
配置文件详情
load_module /usr/lib/nginx/modules/ngx_stream_module.so;
worker_processes auto;
events {
worker_connections 1024;
accept_mutex on;
}
http {
keepalive_timeout 65535s;
gzip on;
gzip_min_length 4k;
gzip_comp_level 4;
client_max_body_size 1024G;
client_header_buffer_size 32k;
client_body_buffer_size 8m;
server_names_hash_bucket_size 512;
proxy_headers_hash_max_size 51200;
proxy_headers_hash_bucket_size 6400;
gzip_types application/javascript application/x-javascript text/javascript text/css application/json application/xml;
include mime.types;
default_type application/octet-stream;
error_log /home/nginxWebUI/log/error.log;
map $http_upgrade $connection_upgrade {
default upgrade;
'' close;
}
access_log /home/nginxWebUI/log/access.log;
client_body_timeout 65535;
proxy_read_timeout 65535;
proxy_connect_timeout 65535;
proxy_send_timeout 65535;
set_real_ip_from 0.0.0.0/0;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
proxy_set_header Authorization $http_authorization;
proxy_set_header Cookie $http_cookie;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;:
server {

server_name xxx.com;
listen 10000;
auth_basic_user_file /home/nginxWebUI/password/Jyen;
location / {
  proxy_pass http://172.17.0.1:10100;
  proxy_set_header Host $host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header X-Forwarded-Host $http_host;
  proxy_set_header X-Forwarded-Port $server_port;
  proxy_set_header X-Forwarded-Proto $scheme;
}

}

测试:
浏览器: 谷歌 微软
访问 xxx.com:9999
结果:弹出nginx密码界面 输入后再加载雷池动画 像反了一样 理论上先出现雷池动效 然后再要求密码验证

头像

🇴 🇴 🇴

更新于 2 个月前

另外还有些别的问题 我发现代理的参数好像不一致 像为知笔记图片就上传不成功 日志中没有拦截记录 看了下配置文件好像不一致
我修改了雷池中的配置文件不生效 且web端修改后还会覆盖

image.png

头像

🇴 🇴 🇴

更新于 1 个月前

0

0

重新安装解决了
安装时报错找不到docker映射的路径 怀疑是缓存导致的 使用的安装命令是bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/setup.sh)" 发现文件夹丢失然后使用升级命令CDN=1 bash -c "$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/upgrade.sh)" 依旧丢失 安装命令感觉多余的直接升级命令 然后后面我手动建立文件夹的

希望更新脚本中建立不限于以下文件夹 你可以自己在新的机器上测试 不知道是不是内部有但不兼容群晖 另外哪些是缓存目录 哪些是配置目录希望分开来 对我来说只需要配置目录不删除
image.png

关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2