HAProxy 根据报文解析来定义不同的acl

原创 已于 2023-12-13 16:42:06 修改 · 549 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络 #服务器 #tcp/ip
于 2023-12-13 11:22:14 首次发布
文章介绍了如何在HAProxy中使用ACL检查TCP报文和JSONpayload,包括基于payload内容、正则表达式匹配和Base64解码的应用实例。

1 .在 HAProxy 中使用 ACLs(Access Control Lists)检查 TCP 报文内容时,你可以使用 payload 关键字。以下是一个例子,演示如何在 HAProxy 的 ACL 中使用 payload



frontend my_frontend
  bind *:80
  mode tcp

  acl payload_hello req.payload(0,7) -m bin 68656c6c6f21
  acl payload_world req.payload(7,5) -m bin 776f726c64

  use_backend backend_hello if payload_hello
  use_backend backend_world if payload_world

backend backend_hello
  mode tcp
  server server_hello 192.168.1.10:8080

backend backend_world
  mode tcp
  server server_world 192.168.1.11:8080

在这个例子中:

  • acl is_hello payload(0,7) -m bin 68656c6c6f21 表示如果 TCP 报文的内容的前7个字节与二进制值 68656c6c6f21 匹配(即 "hello!" 的二进制表示),则定义了一个名为 is_hello 的 ACL。
  • tcp-request content accept if is_hello 表示如果 is_hello ACL 匹配,则接受此连接。
  • tcp-request content reject 表示如果没有

2. 在 HAProxy 中使用 ACL(Access Control List)来检查 JSON payload,你需要使用 payload 指令,并结合 base64converterstr 等关键词来处理 JSON 数据。以下是一个简单的例子,假设你的 JSON 数据被 Base64 编码:

# 定义一个 ACL 用于匹配 JSON payload
acl is_valid_json_payload req.payload(0,base64) -m reg \{.*"key":"value".*\}

# 使用 ACL 进行条件判断
use_backend backend1 if is_valid_json_payload
use_backend backend2 if !is_valid_json_payload

在这个例子中:

  • req.payload(0,base64) 用于提取请求的 Base64 编码的 payload 数据。
  • -m reg \{.*"key":"value".*\} 用于使用正则表达式检查 payload 中是否包含特定的 JSON 键值对(在这个例子中,键是 "key",值是 "value")。

请注意,这只是一个简单的演示例子,实际中你可能需要根据你的 JSON 结构和匹配条件进行适当的调整。确保根据实际需要定义正确的 ACL 条件。

如果 JSON 数据没有被 Base64 编码,可以省略 base64 部分,直接使用 req.payload(0) 来提取未编码的 JSON 数据。

请注意,HAProxy 的 ACL 不是专门设计用于处理 JSON 数据的,而是一般用于 HTTP 请求的条件匹配。因此,复杂的 JSON 结构和条件可能需要更高级的工具或自定义解决方案。

3.在 HAProxy 中,你可以使用 ACL(Access Control List)来检查 JSON payload 是否不包含某个 key,并根据条件返回一个 JSON 串。以下是一个简单的示例,假设你希望在 JSON payload 中不包含 "key" 时返回一个特定的 JSON 串:

# 定义一个 ACL 用于检查 JSON payload 不包含特定的 key
acl json_does_not_contain_key req.payload(0) -m reg \{[^\}]*"key"[^\}]*\}

# 使用 ACL 进行条件判断
http-response set-header Content-Type application/json if json_does_not_contain_key
http-response return 200 '{"message": "Key is missing"}' if json_does_not_contain_key

在这个例子中:

  • req.payload(0) 用于提取请求的未编码的 JSON payload 数据。
  • -m reg \{[^\}]*"key"[^\}]*\} 用于使用正则表达式检查 payload 中是否包含 "key"。如果不包含,ACL 将匹配。

接下来,通过 http-response set-header 设置返回的 HTTP 头,确保它表明返回的内容类型是 JSON。然后,使用 http-response return 返回一个自定义的 JSON 串。

请注意,这只是一个简单的演示例子,实际中你可能需要根据你的 JSON 结构和匹配条件进行适当的调整。确保根据实际需要定义正确的 ACL 条件和返回内容。

4.

在 HAProxy 中,对于 TCP 流量,你可以使用 tcp-request contentcontent 指令结合正则表达式来检查 JSON payload 是否不包含某个 key,然后返回一个 JSON 串。以下是一个简单的示例,假设你希望在 JSON payload 中不包含 "key" 时返回一个特定的 JSON 串

frontend your_frontend
  bind :80
  mode tcp
  option tcplog

  tcp-request content reject if { req.payload(0,raw) -m reg \{[^\}]*"key"[^\}]*\} -m found }
  tcp-response content add Content-Type:\ application/json if !{ req.payload(0,raw) -m reg \{[^\}]*"key"[^\}]*\} -m found }
  tcp-response content add \{ "message": "Key is missing" \} if !{ req.payload(0,raw) -m reg \{[^\}]*"key"[^\}]*\} -m found }

在这个例子中:

  • req.payload(0,raw) 用于提取 TCP 请求的原始(未解码)payload 数据。
  • -m reg \{[^\}]*"key"[^\}]*\} 用于使用正则表达式检查 payload 中是否包含 "key"。如果不包含,ACL 将匹配。

然后,通过 tcp-response content 指令设置响应内容,包括 Content-Type 和返回的 JSON 串。

请注意,这只是一个简单的演示例子,实际中你可能需要根据你的 JSON 结构和匹配条件进行适当的调整。确保根据实际需要定义正确的条件和返回内容。

Haproxy中的acl的详解
vanexph的博客
06-15 3927
haproxy 能够从请求报文,响应报文,从客户端或者服务器端,从表,环境信息等中提取数据,提取这样的数据的动作我们称之为获取样本,进行检索时,这些样本可以用来实现各种目的,比如作为粘滞表的键,最常用的用途是,根据定义的模式来进行匹配。访问控制列表(ACL)提供一个灵活方案进行内容切换,或者从请求,响应,任何环境状态中提取的数据基础之上做出决策,控制列表的原则很简单: 从数据流,表,环境中提取数据样本 对提取的样本可选的应用格式转换 对一个样本应用一个或多个模式匹配 当模式匹配样本时才执行动作 执行的动
HAproxy负载均衡-ACL
weixin_33743703的博客
06-28 656
 ACL定制法则:     开放策略:拒绝所有,只开放已知     拒绝策略:允许所有,只拒绝某些事实上实现安全策略,无非也就是以上两种方法 redirect参考:http://cbonte.github.io/haproxy-dconv/configuration-1.4.html#4-redirect如果符合某种特定条件,则返回某种新的前缀aclclear         dst_port 8...
HAProxy——http请求走私漏洞(CVE-2021-40346)分析
weixin_50464560的博客
09-24 5658
漏洞信息在9月7号,JFrog安全研究团队发布了一个HAProxy的严重漏洞的信息。HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。 HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进架构中, 同时可以保护web服务器不被暴露到网络上。 此漏洞编号为CVE-2021-40346,是一个整
HAProxy关键配置详解
wuds_158的博客
05-30 2078
cookie:在backend server间启用基于cookie的会话保持策略,最常用的是insert方式,如cookie HA_STICKY_ms1 insert indirect nocache,指HAProxy将在响应中插入名为HA_STICKY_ms1的cookie,其值为对应的server定义中指定的值,并根据请求中此cookie的值决定转发至哪个server。default域中配置了的项目,如果在frontend或backend域中没有配置,将会使用default域中的配置。
**HAProxy ACL详解**
weixin_45377978的博客
01-18 1974
HAProxy ACL详解 官方文档: http://cbonte.github.io/haproxy-dconv/1.7/configuration.html 使用 ACLs,可以基于请求和响应的任何部分,进行服务内容的切换。总的原则如下: 定义测试准则 根据测试结果执行一定的动作,包括对请求进行拒绝,或者选择一个 backend acl 关键字用于定义一条新的测试准则,或者对一条已经存在的测试准则进行重新定义acl [flags] [operator] … : 指定对请求或者响应的某个部分进行
HaproxyACL 规则及实战案例
Xucf1
01-24 5378
文章目录一、ACL 规则1.概述2.主要功能3.语法二、Haproxy 实现智能负载均衡1.实验环境2.配置 Apache 服务器3.基于地址的访问控制4.基于访问文件的控制与重定向5.实现动静分离功能的智能负载均衡 一、ACL 规则 1.概述 比起使用 LVS 做负载均衡,Haproxy 能提供更加强大的功能 因为 Haproxy 支持 ACL 规则,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需要进行不同的策略转发响应 2.主要功
HaproxyACL介绍及应用实例
最新发布
ouqisheng的博客
08-11 1126
访问控制列表ACL,Access Control Lists) 是一种基于包过滤的访问控制技术 它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配)即对接收到的报文进行匹配和过 滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内 容进行匹配并执行进一步操作,比如允许其通过或丢弃。
haproxy ACL
qq_36801585的博客
03-31 1265
haproxy ACL ​ 访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,允许其通过或丢弃。 文档 1. ACL配置选项 acl ...
haproxyACL规则
w20010106的博客
01-08 7645
haproxy支持ACL规则 ,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需求进行不同的策略转发响应。 可以通过ACL规则完成以下两种主要功能: 1、通过设置ACL规则来检查客户端请求是否符合规则,将不符合规则要求的请求直接中断; 2、符合ACL规则的请求由backend指定的后端服务器池执行基于ACL规则的负载均衡,不符合的可...
haproxyACL
小新没有蜡笔
11-04 981
acl:访问控制列表(ACL)的使用提供了一个灵活的解决方案来执行内容交换,并且通常基于从请求中提取的内容、响应或任何环境状态进行决策ACL表达式acl <aclname> <criterion> [flags] [operator] [<value>]<aclname>: ACL名称,可使用字母 数字 : . - _ 区分字符大小写 <criterion>: 比较的标准和条件 <value>的
haproxy白名单设置
weixin_34254823的博客
06-12 646
为什么80%的码农都做不了架构师?>>> ...
HAProxy常用配置介绍,ACL详解
wolf
07-14 4049
1、HAProxy简介 HAProxy 是一款高性能TCP/HTTP 反向代理负载均衡服务器,具有如下功能: 根据静态分配的cookies完成HTTP请求转发 在多个服务器间实现负载均衡,并且根据HTTP cookies 实现会话粘性 主备服务器切换 接受访问特定端口实现服务监控 实现平滑关闭服务,不中断已建立连接的请求响应,拒绝新的请求 在请求或响应
HAProxy-配置文件详解
鬼刺
03-07 4459
引言:工作中多次用到HAProxy实现负载均衡、会话保持和健康检查以及send-proxy,在此将学习到的相关知识写成笔记。其中,参照了很多大神的文章进行探究,特此感谢,参照的文章见下: https://blog.csdn.net/genglei1022/article/details/83374188 https://www.cnblogs.com/chimeiwangliang/p/804...
haproxy配置文件详解和ACL功能
weixin_34321753的博客
03-03 431
HAProxy系列文章:http://www.cnblogs.com/f-ck-need-u/p/7576137.html haproxy几乎每个大版本都提供了官方手册(内容几乎都相同),手册非常详细。例如haproxy 1.7版本关于配置文件的官方手册:http://cbonte.github.io/haproxy-dconv/1.7/configuration.html。 hapro...
实践中使用haproxy 防御ddos
兰辉
12-24 3939
首先在http 这里做一个门防御 frontend http   bind 10.0.0.20:80 acl anti_ddos always_true #白名单 acl whiteip src -f /usr/local/haproxy/etc/whiteip.lst #标记非法用户 stick-table type ip size 20k expire 2m store
haproxy 官方文档
热门推荐
zhaoyangjian724的专栏
09-24 1万+
HAProxy Configuration Manual version 1.5-dev24 willy tarreau 2014/04/26This document covers the configuration language as implemented in the version specified above. It does n
Haproxy实战:80端口转发到webserver和ssh
Siukwan Program
01-29 9750
转自:siukwan的个人博客-Haproxy实战:80端口转发到webserver和ssh 服务器原来配置了haproxy,因为对外只开放了80端口,没有开放22端口,所以haproxy配置了端口转发,规则如下(在/etc/haproxy/haproxy.cfg): #By http://blog.creke.net/ global maxconn 5120
HAProxy 高级应用(二)
weixin_34192732的博客
11-22 535
HAProxy 高级应用================================================================================概述:本章将继续介绍haproxy的一些其他应用,具体内容如下:use_backend <backend>后端主机调用:haproxy中tcp模式的应用;haproxy中list...
haproxy中使用域名作为backend
forsakening的专栏
04-16 7407
1)基本条件:haproxy &gt; v1.6 版本(测试时候觉得1.8版本更稳定)2)centos编译haproxy的rpm包https://github.com/DBezemer/rpm-haproxy3)遇到的坑:      –  dns的返回值不正确,原因是backend的域名填写的有问题rancher的环境中,必须要对域名做如下转换:如desktop-server  需转换为 desk...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

opdolo

一分钱也是爱

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值