如何解决IIS ipSecurity不会阻止外部IP
我们正在使用Windows Server 2016在IIS上运行一个网站。我们希望该网站是公共的,但是我们只希望内部IP地址访问一个文件夹。 applicationHost.config包含以下几行:
<location path="mywebsite/private">
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<add ipAddress="192.168.1.0" subnetMask="255.255.255.0" allowed="true" />
</ipSecurity>
</security>
</system.webServer>
</location>
当从192.168.1.x之外的IP地址访问此文件夹中的页面时,我希望被阻止,但是页面加载成功。
此外,我在IIS管理器中收到一个错误。我不确定是否相关。当我导航至mywebsite> private并打开 IP地址和域限制功能时,我看到的设置与applicationHost.config中的设置相同。在编辑功能设置下,将其设置为访问=拒绝,域名限制=禁用,代理模式=禁用,拒绝操作类型=禁止。当我将“访问权限”更改为“允许”时,出现以下错误消息:
Filename: \\?\D:\mywebsite\private\web.config
Error: The configuration section 'system.webServer/security/dynamicIpSecurity'
cannot be read because it is missing a section declaration
在applicationHost.config或任何web.config文件中,没有关于 dynamicIpSecurity 的任何信息。 ipSecurity 不在web.config中。
关于为何不阻止外部IP地址的任何建议?
更新: 仍未完全解决,但我知道发生了什么,并已使用此信息来实施解决方法。在我们的网络中,我们有3个区域:Web服务器,工作站和Internet。事实证明,如果Web请求来自工作站,则IP地址和域限制功能会看到实际的客户端IP地址,并按预期允许或拒绝。但是,如果请求来自Internet,则此IIS功能将看到我们的防火墙设备的接口IP地址。这很奇怪,因为Web应用程序看到客户端IP,而日志文件记录了客户端IP。它似乎只是IP地址和域限制功能。 IIS是否可以做一些事情,使它更有可能查看实际的客户端IP?
解决方法
在我这边,发生了同样的问题。但是,启用以下选项后,域名规则将起作用。
IP规则无效。 IPV6地址可能现在很流行,导致IpV4地址不匹配。
我建议您尝试将其设置为IIS GUI而不是webconfig
,因为它不会覆盖默认设置。
随时让我知道问题是否仍然存在。
已更新。
通过网站日志,我找到了客户端浏览器访问记录(我选择了记录客户端IP的字段)。我发现这些条目都是基于IPV6的。
2020-08-17 06:10:19 fe80::a4fe:6d79:f2b8:d031%6 GET /swagger-ui-bundle.js - 4432 - fe80::dc4d:9de5:9382:ebe2%6 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/84.0.4147.125+Safari/537.36 https://vabqia969vm:448/index.html 200 0 0 30
因此,我将IPV6添加为受限制的条目,它起作用了。
注意:请不要忘记后缀“%6”
。
也许现在您已经解决了您提到的另一个问题,但至于您遇到的有关 dynamicipsecurity 元素的错误,这是与您主要关注的“IP 地址和域”功能分开的功能。另一个功能是添加选项,例如在短时间内阻止来自给定 IP 地址的过多请求。更多内容请看:
https://docs.microsoft.com/en-us/iis/configuration/system.webServer/security/dynamicIpSecurity/
我怀疑问题在于即使您没有安装该功能,您的配置文件也引用了该功能。也许配置文件来自安装了该 iis 功能的服务器。 (默认情况下不是。)
因此您可以安装该附加功能(请参阅文档)或删除对该元素的配置文件引用,无论是在您的 web.config 还是 applicationhost.config 中。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。