SSRF 보호

자체 호스팅 n8n 인스턴스를 Server-Side Request Forgery (SSRF) 공격으로부터 보호합니다.

2.12.0부터 사용 가능 Server-Side Request Forgery (SSRF) 공격은 워크플로우 노드를 악용하여 접근해서는 안 되는 내부 네트워크 리소스, 클라우드 메타데이터 엔드포인트, 또는 localhost 서비스에 요청을 보냅니다. Warning SSRF 보호는 추가적인 애플리케이션 수준의 방어책입니다. 인프라의 1차 방어선으로 네트워크 수준의 보호(방화벽, 보안 그룹, 네트워크 정책)는 항상 구성해야 합니다. n8n의 SSRF 보호는 이러한 제어 위에 심층 방어를 추가합니다. SSRF 보호 활성화 # N8N_SSRF_PROTECTION_ENABLED=true 활성화하면 n8n은 사용자가 제어할 수 있는 노드(예: HTTP Request 노드)의 모든 아웃바운드 HTTP 요청을 구성된 차단 및 허용 범위에 대해 검증합니다. 여기에는 DNS 리바인딩과 같은 우회 기법을 방지하기 위한 리디렉션 대상 및 DNS 확인도 포함됩니다. 기본 차단 범위 # SSRF 보호가 활성화되면 기본적으로 다음 IP 범위가 차단됩니다: 범위 설명 10.0.0.0/8 , 172.16.0.0/12 , 192.168.0.0/16 RFC 1918 사설 주소 127.0.0.0/8 , ::1/128 루프백 169.254.0.0/16 , fe80::/10 링크-로컬 fc00::/7 , fd00::/8 IPv6 고유 로컬 0.0.0.0/8 , 192.0.0.0/24 , 192.0.2.0/24 , 198.18.0.0/15 , 198.51.100.0/24 , 203.0.113.0/24 예약/특수 목적 N8N_SSRF_BLOCKED_IP_RANGES=default,100.0.0.0/8 을 사용하여 이 목록을 확장할 수 있습니다. 내부 서비스에 대한 접근 허용 # 워크플로우가 합법적인 내부 서비스에 접근해야 하는 경우 허용 목록을 사용하세요. 허용 목록은 차단 목록보다 우선 순위가 높으며, 다음 순서를 따릅니다: 호스트명 허용 목록 > IP 허용 목록 > IP 차단 목록. 호스트명 패턴으로 허용 (와일드카드 *.n8n.internal 지원): N8N_SSRF_ALLOWED_HOSTNAMES=*.n8n.internal,*.company.local IP 범위로 허용: N8N_SSRF_ALLOWED_IP_RANGES=10.0.1.0/24,10.0.2.50/32 Warning 관리 하에 있는 호스트명(내부 DNS 영역)만 허용 목록에 추가하세요. 호스트명 허용 목록은 IP 차단 목록 검사를 우회합니다. 관련 리소스 # 전체 구성 옵션 목록은 SSRF 보호 환경 변수 를 참조하세요. 환경 변수 설정에 대한 자세한 내용은 구성 방법 을 참조하세요.