Alonimus's questions

我正在为办公室内托管的网站实施身份验证，我有一个 PAM 身份验证模块来验证用户身份，到目前为止效果很好。

问题是我只需要对来自 Internet（外部）的用户进行身份验证，在本例中是 IP 192.168.12.1，它是将所有外部流量路由到内部 Web 服务器的网关设备。

我到目前为止的相关配置是这样的：

server {
    listen   80;
    server_name  xxxxxxxxxx;

    access_log  /var/log/nginx/xxxxxxxx.log;

    location / {

          satisfy any;

          allow 192.168.1.0/24; ##Office subnet
          allow 192.168.11.0/24; ##Office subnet

          ##Inside this subnet is the IP that needs to have auth 192.160.12.1
          allow 192.168.12.0/24; ## Office subnet

          auth_pam    "XXXXXXXXXX";
          auth_pam_service_name   "nginx";

          proxy_pass      http://xx.xx.xx.xx/; ## Redirects to desired web server
    }   
}

如果我使用

满足所有；

这将要求每个用户（内部和外部）进行身份验证，这不是我需要的

如果我这样拒绝 192.168.12.1 ：

          deny 192.168.12.1;
          allow 192.168.1.0/24; ##Office subnet
          allow 192.168.11.0/24; ##Office subnet
          allow 192.168.12.0/24; ## Office subnet

我立即得到 403 禁止

如果我这样拒绝 192.168.12.1 ：

          allow 192.168.1.0/24; ##Office subnet
          allow 192.168.11.0/24; ##Office subnet
          allow 192.168.12.0/24; ## Office subnet
          deny 192.168.12.1;

它只是绕过身份验证

我需要一种方法来强制 192.168.12.1 通过身份验证但不阻塞整个子网 192.168.12.0/24，因为那里还有其他设备应该能够在没有身份验证的情况下登录。

我有 3 台服务器。

服务器 A：带有 nginx 的防火墙服务器，根据 server_name（虚拟主机）重定向到服务器 B 或 C，可从外部访问。

服务器 B：带有jwilder/nginx-proxy的 Web 服务器，这是一个反向 nginx-proxy，为该服务器中的所有 docker web 容器提供服务，可通过服务器 A 访问。

服务器 C：与服务器 B 相同

这些是办公室内的专用服务器，办公室中的人员直接访问公司站点到服务器 B 或 C，我想为基础架构中的网站配置 ssl，但我有两个问题：

1.- 如果我在服务器 A 中配置 ssl，办公室内的人无法使用 https 访问站点，因为直接访问服务器 B 或 C。

2.- 如果我根据此从服务器 B 或 C 内部配置站点，则站点显示重定向问题（重定向太多），至少来自外部。

这是服务器 A 中用于重定向到服务器 B 的配置：

server {
        listen   80;
        server_name sites-in-serverB.com;
        access_log  /var/log/nginx/xxxxxxxx.log;
        location / {
                proxy_pass      http://serverB-IP/;
        }
}

**同样适用于服务器 C 站点

当然每个容器都有自己的 nginx 服务器（是的，我真的很喜欢 nginx）。所以我们正在寻找 4 个级别的 nginx。开始！！