Usamos vários servidores de aplicativos liderados pelo NGinx. Agora desejamos restringir o acesso a alguns dos aplicativos pelo proxy, mas ainda permitir que os scripts executados no mesmo host e LAN interna ignorem a nova autenticação.
Para este fim, adicionamos o seguinte à configuração:
satisfy any;
allow 192.168.32.0/24;
allow 192.168.29.29;
allow 127.0.0.1;
deny all;
proxy_pass http://127.0.0.1...
No entanto, isso permite que todas as solicitações entrem -- presumivelmente, porque o proxy é feito para 127.0.0.1 e, portanto, todas as solicitações correspondem à regra "permitir 127.0.0.1" acima.
O que estamos fazendo errado? Qual a abordagem certa?
Ok, encontramos o motivo e o NGinx é inocente. Uma mudança (aparentemente) não relacionada à configuração foi introduzida recentemente redirecionando HTTP para HTTPS. Em nossa configuração -- por razões que são difíceis de explicar -- as conexões SSL são encerradas pelo HAProxy rodando na mesma máquina.
Portanto, todas as conexões HTTP são redirecionadas primeiro para HTTPS e, em seguida, todas as SSL aparecem (para NGinx) como originárias de 127.0.0.1. Desculpem o barulho e obrigado a todos que estão tentando ajudar.