我们正在使用Windows Server 2016在IIS上运行一个网站。我们希望该网站是公共的，但是我们只希望内部IP地址访问一个文件夹。 applicationHost.config包含以下几行：

    <location path="mywebsite/private">
        <system.webServer>
            <security>
                <ipSecurity allowUnlisted="false">
                    <add ipAddress="192.168.1.0" subnetMask="255.255.255.0" allowed="true" />
                </ipSecurity>
            </security>
        </system.webServer>
    </location>

当从192.168.1.x之外的IP地址访问此文件夹中的页面时，我希望被阻止，但是页面加载成功。

此外，我在IIS管理器中收到一个错误。我不确定是否相关。当我导航至mywebsite> private并打开 IP地址和域限制功能时，我看到的设置与applicationHost.config中的设置相同。在编辑功能设置下，将其设置为访问=拒绝，域名限制=禁用，代理模式=禁用，拒绝操作类型=禁止。当我将“访问权限”更改为“允许”时，出现以下错误消息：

Filename: \\?\D:\mywebsite\private\web.config
Error: The configuration section 'system.webServer/security/dynamicIpSecurity' 
cannot be read because it is missing a section declaration

在applicationHost.config或任何web.config文件中，没有关于 dynamicIpSecurity 的任何信息。 ipSecurity 不在web.config中。

关于为何不阻止外部IP地址的任何建议？

更新： 仍未完全解决，但我知道发生了什么，并已使用此信息来实施解决方法。在我们的网络中，我们有3个区域：Web服务器，工作站和Internet。事实证明，如果Web请求来自工作站，则IP地址和域限制功能会看到实际的客户端IP地址，并按预期允许或拒绝。但是，如果请求来自Internet，则此IIS功能将看到我们的防火墙设备的接口IP地址。这很奇怪，因为Web应用程序看到客户端IP，而日志文件记录了客户端IP。它似乎只是IP地址和域限制功能。 IIS是否可以做一些事情，使它更有可能查看实际的客户端IP？

解决方法

2020-08-17 06:10:19 fe80::a4fe:6d79:f2b8:d031%6 GET /swagger-ui-bundle.js - 4432 - fe80::dc4d:9de5:9382:ebe2%6 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/84.0.4147.125+Safari/537.36 https://vabqia969vm:448/index.html 200 0 0 30