关于waf安装的到web反代的问题

zhuzhu0628

安装完，默认的IP测试没问题，

然后我再测试加到nginx反代中，好像不行~~~~
下面配置贴 图
这个是默认的nginx，通过IP访问的，是测试通过的，




由于附件图片过大，下面贴 代码

1. <blockquote>server

复制代码

代码上面，我感觉没配错，网页上域名后加
http://域名/test.php?id=../etc/passwd 来测试
直接跳404，这是什么鬼，是不是配置失败了

zhuzhu0628

nginx.conf配置文件

1. user  www www;
   
2. 
   
3. worker_processes auto;
   
4. worker_cpu_affinity auto;
   
5. 
   
6. error_log  /home/wwwlogs/nginx_error.log  crit;
   
7. 
   
8. pid        /usr/local/nginx/logs/nginx.pid;
   
9. 
   
10. #Specifies the value for maximum file descriptors that can be opened by this process.
    
11. worker_rlimit_nofile 51200;
    
12. 
    
13. events
    
14.     {
    
15.         use epoll;
    
16.         worker_connections 51200;
    
17.         multi_accept off;
    
18.         accept_mutex off;
    
19.     }
    
20. 
    
21. http
    
22.     {
    
23.         include       mime.types;
    
24.         default_type  application/octet-stream;
    
25. 
    
26.         server_names_hash_bucket_size 128;
    
27.         client_header_buffer_size 32k;
    
28.         large_client_header_buffers 4 32k;
    
29.         client_max_body_size 50m;
    
30.         upstream myserver {
    
31.             ip_hash;
    
32.             server IP:443;
    
33.         }
    
34. 
    
35.         sendfile on;
    
36.         sendfile_max_chunk 512k;
    
37.         tcp_nopush on;
    
38. 
    
39.         keepalive_timeout 60;
    
40. 
    
41.         tcp_nodelay on;
    
42. 
    
43.         proxy_cache_path /data/bimg levels=1:2 keys_zone=bimg:500m inactive=120m max_size=5g;
    
44.         proxy_cache_path /data/s levels=1:2 keys_zone=s:500m inactive=120m max_size=5g;
    
45.         proxy_cache_valid 200 304 302 24h;
    
46.         include proxy.conf;
    
47. 
    
48. 
    
49.         fastcgi_connect_timeout 300;
    
50.         fastcgi_send_timeout 300;
    
51.         fastcgi_read_timeout 300;
    
52.         fastcgi_buffer_size 64k;
    
53.         fastcgi_buffers 4 64k;
    
54.         fastcgi_busy_buffers_size 128k;
    
55.         fastcgi_temp_file_write_size 256k;
    
56. 
    
57.         gzip on;
    
58.         gzip_min_length  1k;
    
59.         gzip_buffers     4 16k;
    
60.         gzip_http_version 1.1;
    
61.         gzip_comp_level 2;
    
62.         gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml application/xml+rss;
    
63.         gzip_vary on;
    
64.         gzip_proxied   expired no-cache no-store private auth;
    
65.         gzip_disable   "MSIE [1-6]\.";
    
66. 
    
67.         #limit_conn_zone $binary_remote_addr zone=perip:10m;
    
68.         ##If enable limit_conn_zone,add "limit_conn perip 10;" to server section.
    
69. 
    
70.         server_tokens off;
    
71.         lua_package_path "/usr/local/nginx/conf/waf/?.lua";
    
72.         lua_shared_dict limit 10m;
    
73.         init_by_lua_file /usr/local/nginx/conf/waf/init.lua;
    
74.         access_log on;
    
75. 
    
76. server
    
77.     {
    
78.         listen 80 default_server reuseport;
    
79.         #listen [::]:80 default_server ipv6only=on;
    
80.         server_name _;
    
81.         index index.html index.htm index.php;
    
82.         root  /home/wwwroot/default;
    
83.         access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
    
84.         #error_page   404   /404.html;
    
85. 
    
86.         # Deny access to PHP files in specific directory
    
87.         #location ~ /(wp-content|uploads|wp-includes|images)/.*\.php$ { deny all; }
    
88. 
    
89.         include enable-php.conf;
    
90. 
    
91.         location /nginx_status
    
92.         {
    
93.             stub_status on;
    
94.             access_log   off;
    
95.         }
    
96. 
    
97.         location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    
98.         {
    
99.             expires      30d;
    
100.         }
     
101. 
     
102.         location ~ .*\.(js|css)?$
     
103.         {
     
104.             expires      12h;
     
105.         }
     
106. 
     
107.         location ~ /.well-known {
     
108.             allow all;
     
109.         }
     
110. 
     
111.         location ~ /\.
     
112.         {
     
113.             deny all;
     
114.         }
     
115. 
     
116.         access_log  /home/wwwlogs/access.log;
     
117.     }
     
118. include vhost/*.conf;
     
119. }
     

复制代码

vhost/web.conf

1. server {
   
2.         listen 80;
   
3.         server_name  www.xxxxx.com;
   
4.         rewrite ^(.*) https://$host$1 permanent;
   
5. }
   
6. server
   
7.     {
   
8.         listen 443 ssl;
   
9.         server_name www.xxxxx.com;
   
10.         root /www/web/;
    
11.         access_by_lua_file /usr/local/nginx/conf/waf/waf.lua;
    
12. 
    
13.         ssl_certificate ssl/www.xxxxx.com.crt;
    
14.         ssl_certificate_key ssl/www.xxxxx.com.key;
    
15.         ssl_session_timeout 5m;
    
16.         ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    
17.         ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    
18.         ssl_prefer_server_ciphers on;
    
19.         location ~/* {
    
20.             proxy_set_header Host www.xxxxx.com;
    
21.             proxy_pass   https://myserver;
    
22.             index  index.php index.html index.htm;
    
23.             proxy_cache www.xxxxx.com;
    
24.             proxy_cache_valid 200 20m;
    
25.         }
    
26.         include guize/zhizhu.conf;
    
27.         location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    
28.         {
    
29.             expires      30d;
    
30.         }
    
31. 
    
32.         location ~ .*\.(js|css)?$
    
33.         {
    
34.             expires      12h;
    
35.         }
    
36. 
    
37.         location ~ /.well-known {
    
38.             allow all;
    
39.         }
    
40. 
    
41.         location ~ /\.
    
42.         {
    
43.             deny all;
    
44.         }
    
45. 
    
46.         access_log /www/log/www.xxxxx.com.log;
    
47.     }
    

复制代码

licess

test.php不存在的话是无法测试的，没有test.php ，你看看你网站根目录下有什么.php的文件，一般 index.php 肯定有吧，有就替换为 index.php 进行测试

zhuzhu0628

licess 发表于 2023-4-21 08:07
test.php不存在的话是无法测试的，没有test.php ，你看看你网站根目录下有什么.php的文件，一般 index.php  ...

这个lua的功能 ，是不是不支持html，不支持恶意采集访问之类的。

licess

zhuzhu0628 发表于 2023-4-21 21:17
这个lua的功能 ，是不是不支持html，不支持恶意采集访问之类的。

有防cc的功能

    CCrate = "100/60"
    --设置cc攻击频率，单位为秒.
    --默认1分钟同一个IP只能请求同一个地址100次

满足触发条件就可以
或者useragent之类的有明显特征也可以加上