Nginx set_real_ip_from адрес подсистемы балансировки нагрузки AWS ELB
Существуют настройки групповой политики под Компьютерным Configuration\Administrative Templates\Windows Components\Terminal Services\Sessions относительно того, сколько времени можно оставаться на связи.
Некоторые детали по http://www.windowsnetworking.com/articles_tutorials/Terminal-Services-Group-Policy.html
Примите во внимание, эти настройки на компьютерном уровне, не уровне пользователя, таким образом, это будет относиться к любому соединяющемуся с серверами, Вы применяете его к.
Если Вы сохранили бы других с текущим поведением (и даже Вы, если, конкретно будучи должен выполнить более длительные операции) можно оставить его, как всего лишь, когда у Вас есть потребность выполнить что-то длительный срок, соединиться с консольной сессией сервера.
В зависимости от Вашей версии клиента RDP это - или / консоль или / администратор при соединении выполните mstsc/? видеть который для Вас.
Например: mstsc/v:192.168.1.1 / администратор
Это подключит Вас к консольной сессии машины в 192.168.1.1.
Консольная сессия является сессией, которую Вы видели бы когда физически в машине с клавиатурой, видео и мышью. Если Вы будете разъединены от этой сессии, то Ваши операции продолжат работать, и можно снова соединиться с нею.
Если вы можете гарантировать, что все запросы будут поступать из ELB (я с ним не знаком), вы можете попробовать:
real_ip_header X-Forwarded-For;
set_real_ip_from 0.0.0.0/0;
Это должно заставить nginx доверять заголовку X-Forwarded-For от кого угодно. Обратной стороной является то, что если кто-либо напрямую обращается к вашему серверу, он сможет подделать заголовок X-Forwarded-For, и nginx будет использовать неправильный IP-адрес клиента.
Установка доверенного диапазона на 0.0.0.0/0 на Amazon ELB наверняка даст у вас проблемы. Вы можете гарантировать, что запросы поступают от ELB, если вы можете настроить группу безопасности для своего сервера nginx, но исходный запрос будет исходить из любого возможного источника (Amazon ELB - это общедоступные интерфейсы).
Простой тест покажет это:
curl --header "X-Forwarded-For: 1.2.3.4" "http://your-elb-dns-address/"
Журналы на вашем сервере nginx покажут 1.2.3.4 как настоящий IP-адрес, который является поддельным. См. Диапазон IP-адресов для внутреннего частного IP-адреса Amazon ELB для получения более подробных ответов.
На сегодняшний день лучше всего использовать VPC, поэтому вы будете знать точный CIDR для вашего ELB. Затем вы можете добавить что-то вроде этого в свой файл конфигурации Nginx:
real_ip_header X-Forwarded-For;
set_real_ip_from 10.0.0.0/8;
VPC CIDR üçün set_real_ip_from Amazon konsolunda VPC => VPC'niz altında tapa bilərsiniz (dəyişdirin ilə it):
real_ip_header X-Forwarded-For;
set_real_ip_from <your VPC CIDR here>;
В realip_module указано, что в случае X-Forwarded-For этот модуль использует последний IP-адрес в заголовке X-Forwarded-For для замены. Этот модуль не будет работать, если установлены только real_ip_header и set_real_ip_form . Это связано с тем, что этот модуль будет использовать IP-адрес прокси вместо IP-адреса клиента. Чтобы решить эту проблему, необходимо включить директиву real_ip_recursive .
Кроме того, если у вас есть сертификаты SSL, которые развернуты и обновлены на экземпляре (например, сертификаты letsencrypt или certbot). Эти центры сертификации могут попытаться проверить эти сертификаты через IPV6.
Поэтому важно также иметь IPV6. Таким образом, файл конфигурации Nginx также должен содержать адрес IPV6 set_real_ip_from.
real_ip_header X-Forwarded-For;
real_ip_recursive on;
set_real_ip_from <your VPC IPV4 CIDR here>;
set_real_ip_from <your VPC IPV6 CIDR here>;
если применяются дополнительные ограничения безопасности, нам также может потребоваться включить set_real_ip_from VPC CIDR (как IPV4, так и IPV6) для подсетей cloudfront / elb / ec2.