Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re[5]: image_filter и хацкеры.
Здравствуйте.
вдогонку...
Оказалось, что можно подсунуть такой хост, который резовер отрезолвит
в локальный ip и nginx сделает запрос в локальную подсеть.
Лечится или firewall-ом, запрещающим nginx-у обращаться в локальную
подсеть, что очень неудобно, если он проксирует что-то в неё. Пришлось
пока поступить именно так. Политбюро, кстати, тоже подвержено подобным
проблемам, если ограничилось только ngx_http_secure_link_module.
Или изменением dns-сервера у резолвера, который не резолвил бы хосты в
ip из локальных подсетей.
Или доработкой резолвера в nginx-е, который, например, при
соответствующих настройках выдавал бы ошибку резолвинга, если хост
отрезолвился в одну из заданных в настройках подсеть.
--
С уважением,
Михаил mailto:postmaster@xxxxxxxxxxxxx
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|