IIS动态IP限制白名单

Question

IIS动态IP限制白名单

4

请问在使用全站DIPR时如何指定IP地址白名单？

<security>
  <dynamicIpSecurity denyAction="Forbidden">
    <denyByRequestRate enabled="true" maxRequests="5000" requestIntervalInMilliseconds="86399999"/>
  </dynamicIpSecurity>
</security>

- golfalot

我也在想同样的问题。从文档以及ipsecurity与DIPR不连通来看，似乎不可能实现。我能想到的唯一选择是编写自己的IIS模块，以类似于DIPR的方式进行操作。也许可以找到代码并进行修改？ - Lukos

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Michael · Accepted Answer

你实际上可以这样做。然而，教程中显示的用户界面已经过时了。相反，你需要进入“IP地址和域名限制”（IIS 10），并添加一些“允许”的IP地址和/或范围。

在你的web.config或applicationHost.config文件中，将添加一个类似于以下内容的同级元素：

<ipSecurity allowUnlisted="true">
    <add ipAddress="127.0.0.1" allowed="true" />
</ipSecurity>

"允许"的IP可以跳过您的动态过滤。

如果您启用了“代理模式”选项，则需要将所有WAF和CDN IP范围添加到“允许”的IP中。过滤将跳过在您的“允许”列表中的任何IP，从实际传入的IP开始，然后从X-Forwarded-For头中列出的IP中的最后一个IP向前。

遇到不在“允许”列表中的第一个IP将用于动态过滤目的。有关更多详细信息，请参见IIS.net上this Wade Hilmo post。