Início / server / Perguntas / 1168185
Accepted
mschau
Asked: 2024-11-26 21:18:09 +0800 CST

Traefik - filtrar parte da URL

  • 772

Tenho o seguinte cenário: Um Docker Host com vários projetos CMS e um Traefik instalado e funcionando. Gostaria de filtrar a URL de backend de endereços IP públicos, já que ela só deve ser acessível de intervalos de IP privados.

disponível publicamente: https://www.project.com/xyz https://www.project.com/abc

restrito apenas a IPs internos: https://www.project.com/backend

Posso fazer isso com uma lista de permissões de IP e, por exemplo, 2 roteadores - 1 para acesso público e 1 para acesso de backend?

Eu tentei algo como:

  # Backend Router (Restricted Access)
  - "traefik.http.routers.project-backend.rule=Host(`${DOMAINNAME}`) && PathPrefix(`/backend`)"
  - "traefik.http.routers.project-backend.entrypoints=https"
  - "traefik.http.routers.project-backend.tls=true"
  - "traefik.http.routers.project-backend.middlewares=backend-ipwhitelist"
  - "traefik.http.routers.project-backend.priority=100"

Mas o filtro não funcionou - ainda foi possível acessar o backend.

Alguma sugestão?

docker

1 respostas

  1. Best Answer

    Sem ver o resto da sua configuração é difícil identificar o problema. Tentei recriar sua situação com o seguinte compose.yaml:

    services:

  traefik:
    image: traefik:latest
    container_name: traefik
    ports:
      - "8080:80"
      - "8443:443"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    command:
    - --providers.docker
    - --providers.docker.exposedbydefault=false
    - --accesslog=true
    - --log.level=INFO

  project:
    image: traefik/whoami
    hostname: www.project.com
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.project.rule=Host(`www.project.com`)"

      # create a router for the /backend path
      - "traefik.http.routers.project-backend.rule=Host(`www.project.com`) && PathPrefix(`/backend`)"

      # create the allow list middleware
      - "traefik.http.middlewares.backend-ipallowlist.ipAllowList.sourceRange=192.168.1.0/24"

      # attach the backend-ipallowlist middleware to the router for /backend
      - "traefik.http.routers.project-backend.middlewares=backend-ipallowlist"

    Isso proíbe o acesso ao /backendcaminho como esperado. Uma solicitação para /from anywhere é bem-sucedida:

    $ curl -i -H Host:www.project.com http://localhost:8080/
HTTP/1.1 200 OK
Content-Length: 361
Content-Type: text/plain; charset=utf-8
Date: Tue, 26 Nov 2024 18:24:03 GMT

Hostname: www.project.com
.
.
.
X-Real-Ip: 172.18.0.1

    Enquanto uma solicitação /backendfor rejeitada:

    $ curl -i -H Host:www.project.com http://localhost:8080/backend/
HTTP/1.1 403 Forbidden
Date: Tue, 26 Nov 2024 18:23:00 GMT
Content-Length: 9

Foribidden

    Se eu fizer a mesma solicitação de um sistema na 192.168.1.0/24rede, ela será bem-sucedida:

    $ curl -i -H Host:www.project.com http://192.168.100:8080/backend/
HTTP/1.1 200 OK
Content-Length: 375
Content-Type: text/plain; charset=utf-8
Date: Tue, 26 Nov 2024 18:40:59 GMT

Hostname: www.project.com
IP: 127.0.0.1
IP: ::1
IP: 172.18.0.2
.
.
.
X-Real-Ip: 192.168.1.20
    • 0

relate perguntas