Cloudflare 有個功能, 就是在 edge 端的 worker, 可以參考:
https://developers.cloudflare.com/workers/
我們可以利用這個 worker 來做許多功能, 把它想成小型的在邊緣的處理器, 先來看一些 example 好了:
https://developers.cloudflare.com/workers/examples/
理解可以在這個 worker 處理不少事情後, 接下來實做一個簡單的功能, 像是這種取客戶端 IP 的功能:
早期也有利用 PHP 寫過取 IP 功能的小程式, 可以參考:
不過這裡要介紹的是利用 cloudflare 的 worker 來進行.
使用正則表示法來表示一個 ip 區間, 例如: 1.2.3.1~64 這樣的表示方式為:
^1\.2\.3\.([1-9]|[1-5][0-9]|6[1-4])$
另外也會有這樣的寫法: (下面是”流量的秘密”這本書中的第246頁寫的, 不過比較有效率的寫法應為上面, 實際上使用最後的 google analytics 的說明幫助頁上產生的亦同上)
^1\.2\.3\.([1-9]|[1-5][0-9]|[1-6][1-4])$
這是因為在 google-analytics中, 若需要新增設定檔用來排除某 ip, 或某區段 ip 時會用到, 如下畫面:
這樣可以很方便的進行某區段的 ip 篩選, 其實 google analytics 的說明幫助頁也有這個功能, 很方便, 自動可以產生某區段 ip 的正則表示法(或稱規則運算式): https://www.google.com/support/googleanalytics/bin/answer.py?answer=55572&hl=zh_TW&utm_id=ad
若需要試看看對不對, 可以利用線上工具來測試: http://www.regexplanet.com/simple/index.html.
想要將 apache 的站台, 拒絕讓某個(某群ip)存取的方式, 有幾個方法, 其中最單純最俱體的方式就是直接利用 <Directory></Directory> 這個 tag 中的限制存取來操作最為單純方便 (當然, 虛擬主機可不行, 可以直接利用 .htaccess 設定該層目錄的存取權限)
一般來設, 設定如下:
<Directory "/usr/home/website1"> order deny,allow </Directory>
這樣即可. 就是判斷 deny , 預設為 allow 的條件, 也就是所謂公開站台的設定, 若有要限制某些 ip 存取, 可以這樣下:
<Directory "/usr/home/website1"> order deny,allow deny from 1.2.3.4 deny from 11.22.33. </Directory>
其中的 deny from 1.2.3.4 是限制某個單一 ip, 而 deny from 11.22.33. 是指 11.22.33.* 都是拒絕存取的, 如此一來, 便能有效管理不想讓某些 ip (例如爬蟲類或是一些吃資源的 ip, 又或是攻擊的 ip)訪問做好限制.
不過發生了一個有趣的狀況, 也就是之前設了, 發現沒有用, 在多次交叉比對檢查後, 發現是這個原因, 就是在 <VirtualHost> 內的 DocumentRoot 指定為 /home/website1 而在 <Directory> 內的目錄指向是 /usr/home/website1 , 這樣一來, apache 在存取該 website1 的檔案時, 是走 /home/website1 下的檔案, 雖然和 /usr/home/website1 一樣, 不過對 apache 來說卻是不同, 這個要特別注意才行, 否則可能會有設定好的 <Directory> 的限制 ip, 但實際上沒有作用, 原因就有可能發生在這裡了.
又或反過來說, 設定的路徑一定要一致, 而且儘量用完整路徑, 不要用簡化的 link 路徑指向檔案, 也比較容易除錯一些. 所以原則上是這樣的:
<VirtualHost *:80> ServerName test.diary.tw Document /usr/home/www/test ..... </VirtualHost> <Directory "/usr/home/www/test"> order deny,allow deny from 1.2.3.4 </Directory>
這樣就 ok 啦, 千萬要注意紅字部分要一致的這件事, 否則可能設了沒有作用, 原因就在這裡了..
另外補充一下, 若是這種方式限制存取的話, client 會拿到 403 的存取失敗代碼.