Citrix ADC Ingress Controller

Zulassen der Auflistung oder Sperrliste von IP-Adressen

Allowlisting IP addresses ermöglicht es Ihnen, eine Liste vertrauenswürdiger IP-Adressen oder IP-Adressbereiche zu erstellen, von denen aus Benutzer auf Ihre Domains zugreifen können. Es ist eine Sicherheitsfunktion, die häufig verwendet wird, um den Zugriff nur auf vertrauenswürdige Benutzer zu beschränken und zu steuern.

Blocklisting IP addresses ist ein grundlegender Zugriffskontrollmechanismus. Es verweigert Benutzern, die über die IP-Adressen, die Sie auf die Sperrliste gesetzt haben, auf Ihre Domain zugreifen, den Zugriff.

Die von Citrix bereitgestellte Rewrite- und Responder-CRD ermöglicht es Ihnen, umfangreiche Rewrite- und Responder-Richtlinien mit von Datasets, Patsets und Zeichenfolgenzuordnungen zu definieren und Auditprotokolle für Statistiken auf dem Ingress Citrix ADC zu aktivieren.

Mithilfe der Rewrite- oder Responder-Richtlinien können Sie die IP-Adressen/CIDR zulassen oder blockieren, mit denen Benutzer auf Ihre Domäne zugreifen können.

In den folgenden Abschnitten werden verschiedene Möglichkeiten beschrieben, wie Sie die IP-Adressen/CIDR mithilfe der Rewrite- oder Responder-Richtlinien zulassen oder blockieren können.

IP-Adressen der Zulassungsliste

Mithilfe einer Responder-Richtlinie können Sie IP-Adressen zulassen und die Anforderungen der Clients mit anderen IP-Adressen als den zulässigen IP-Adressen stillschweigend löschen.

Erstellen Sie eine Datei allowlist-ip.yaml mit dem Namen der folgenden Rewrite-Richtlinienkonfiguration:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: allowlistip
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        drop:
        respond-criteria: '!client.ip.src.TYPECAST_text_t.equals_any("allowlistip")'
        comment: 'Allowlist certain IP addresses'
  patset:
    - name: allowlistip
      values:
        - '10.xxx.170.xx'
        - '10.xxx.16.xx'
<!--NeedCopy-->

Sie können die IP-Adressen auch als Liste angeben:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: allowlistip
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        drop:
        respond-criteria: '!client.ip.src.TYPECAST_text_t.equals_any("allowlistip")'
        comment: 'Allowlist certain IP addresses'
  patset:
    - name: allowlistip
      values: [ '10.xxx.170.xx', '10.xxx.16.xx' ]
<!--NeedCopy-->

Stellen Sie dann die YAML-Datei (allowlist-ip.yaml) mit dem folgenden Befehl bereit:

kubectl create -f allowlist-ip.yaml

Zulassen von IP-Adressen und 403-Antwort auf die Anfrage von Clients senden, die nicht in der Allowlist enthalten sind

Mit einer Responder-Richtlinie können Sie IP-Adressen auf die Positivliste setzen und die Antwort HTTP/1.1 403 Forbidden für die Anforderungen der Clients mit IP-Adressen senden, die sich von den zulässigen IP-Adressen unterscheiden.

Erstellen Sie eine Datei allowlist-ip-403.yaml mit dem Namen der folgenden Rewrite-Richtlinienkonfiguration:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: allowlistip
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        respondwith:
          http-payload-string: '"HTTP/1.1 403 Forbidden\r\n\r\n" + "Client: " + CLIENT.IP.SRC + " is not authorized to access URL:" + HTTP.REQ.URL.HTTP_URL_SAFE +"\n"'
        respond-criteria: '!client.ip.src.TYPECAST_text_t.equals_any("allowlistip")'
        comment: 'Allowlist a list of IP addresses'
  patset:
    - name: allowlistip
      values: [ '10.xxx.170.xx',  '10.xxx.16.xx' ]
<!--NeedCopy-->

Stellen Sie dann die YAML-Datei (allowlist-ip-403.yaml) mit dem folgenden Befehl bereit:

kubectl create -f allowlist-ip-403.yaml

Zulassen eines CIDR

Sie können einen CIDR mithilfe einer Responder-Richtlinie zulassen. Im Folgenden finden Sie ein Beispiel für eine Responder-Richtlinienkonfiguration zum Zulassen eines CIDR:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: blocklistips1
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        respondwith:
          http-payload-string: '"HTTP/1.1 403 Forbidden\r\n\r\n" + "Client: " + CLIENT.IP.SRC + " is not authorized to access URL:" + HTTP.REQ.URL.HTTP_URL_SAFE +"\n"'
        respond-criteria: '!client.ip.src.IN_SUBNET(10.xxx.170.xx/24)'
        comment: 'Allowlist certain IPs'
<!--NeedCopy-->

Blocklist IP-Adressen

Mithilfe einer Responder-Richtlinie können Sie IP-Adressen blockieren und die Anforderungen der Clients mithilfe der IP-Adressen auf der Blockliste stillschweigend löschen.

Erstellen Sie eine Datei blocklist-ip.yaml mit dem Namen der folgenden Responder-Richtlinienkonfiguration:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: blocklistips
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        respondwith:
        drop:
        respond-criteria: 'client.ip.src.TYPECAST_text_t.equals_any("blocklistips")'
        comment: 'Blocklist certain IPS'

  patset:
    - name: blocklistips
      values:
        - '10.xxx.170.xx'
        - '10.xxx.16.xx'
<!--NeedCopy-->

Stellen Sie dann die YAML-Datei (blocklist-ip.yaml) mit dem folgenden Befehl bereit:

kubectl create -f blocklist-ip.yaml

Blocklist eines CIDR

Sie können ein CIDR mithilfe einer Responder-Richtlinie blockieren. Im Folgenden finden Sie ein Beispiel für eine Responder-Richtlinienkonfiguration zum Blockieren eines CIDR:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: blocklistips1
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        respondwith:
          http-payload-string: '"HTTP/1.1 403 Forbidden\r\n\r\n" + "Client: " + CLIENT.IP.SRC + " is not authorized to access URL:" + HTTP.REQ.URL.HTTP_URL_SAFE +"\n"'
        respond-criteria: 'client.ip.src.IN_SUBNET(10.xxx.170.xx/24)'
        comment: 'Blocklist certain IPs'
<!--NeedCopy-->

CIDR zulassen und IP-Adressen blockieren

Sie können ein CIDR zulassen und IP-Adressen mithilfe einer Responder-Richtlinie blockieren. Im Folgenden finden Sie ein Beispiel für eine Responder-Richtlinienkonfiguration:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: allowlistsub
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        drop:
        respond-criteria: 'client.ip.src.TYPECAST_text_t.equals_any("blocklistips") || !client.ip.src.IN_SUBNET(10.xxx.170.xx/24)'
        comment: 'Allowlist a subnet and blocklist few IP's'

  patset:
    - name: blocklistips
      values:
        - '10.xxx.170.xx'
<!--NeedCopy-->

Blocklist eines CIDR und Allowlist IP-Adressen

Sie können ein CIDR blockieren und IP-Adressen mithilfe einer Responder-Richtlinie zulassen. Im Folgenden finden Sie ein Beispiel für eine Responder-Richtlinienkonfiguration:

apiVersion: citrix.com/v1
kind: rewritepolicy
metadata:
  name: blocklistips1
spec:
  responder-policies:
    - servicenames:
        - frontend
      responder-policy:
        drop:
        respond-criteria: 'client.ip.src.IN_SUBNET(10.xxx.170.xx/24) && !client.ip.src.TYPECAST_text_t.equals_any("allowlistips")'
        comment: 'Blocklist a subnet and allowlist few IP's'

  patset:
    - name: allowlistips
      values:
        - '10.xxx.170.xx'
        - '10.xxx.16.xx'
<!--NeedCopy-->
Zulassen der Auflistung oder Sperrliste von IP-Adressen