微信扫一扫 分享朋友圈

已有 1729 人浏览分享

开启左侧

网站如何通过nginx设置黑/白名单IP限制、国家城市IP访问限制

[复制链接]
1729 0
一、黑/白名单IP限制访问配置
nginx配置黑白名单有好几种方式,这里只介绍常用的两种方法。
1、第一种方法:allow、deny
deny和allow指令属于ngx_http_access_module,nginx默认加载此模块,所以可直接使用。
这种方式,最简单,最直接。设置类似防火墙iptable,使用方法:
    直接配置文件中添加:
  1. #白名单设置,allow后面为可访问IP
  2. location / {
  3.      allow 123.13.123.12;
  4.      allow 23.53.32.1/100;
  5.      deny  all;
  6. }

  7. #黑名单设置,deny后面接限制的IP,为什么不加allow all? 因为这个默认是开启的
  8. location / {
  9.      deny 123.13.123.12;
  10. }

  11. #白名单,特定目录访问限制
  12. location /tree/list {
  13.      allow 123.13.123.12;
  14.      deny  all;
  15. }
复制代码
或者通过读取文件IP配置白名单
  1. location /{
  2.     include /home/whitelist.conf;
  3.     #默认位置路径为/etc/nginx/ 下,
  4.     #如直接写include whitelist.conf,则只需要在/etc/nginx目录下创建whitelist.conf
  5.     deny all;
  6. }
复制代码
在/home/目录下创建whitelist.conf,并写入需要加入白名单的IP,添加完成后查看如下:
  1. cat /home/whitelist.conf

  2. #白名单IP
  3. allow 10.1.1.10;
  4. allow 10.1.1.11;
复制代码
白名单设置完成,黑名单设置方法一样。
2:第二种方法,ngx_http_geo_module
默认情况下,一般nginx是有加该模块的,ngx_http_geo_module:官方文档,参数需设置在位置在http模块中。
此模块可设置IP限制,也可设置国家地区限制。位置在server模块外即可。
语法示例:
    配置文件直接添加

  1. geo $ip_list {
  2.     default 0;
  3.     #设置默认值为0
  4.     192.168.1.0/24 1;
  5.     10.1.0.0/16    1;
  6. }
  7. server {
  8.     listen       8081;
  9.     server_name  192.168.152.100;
  10.    
  11.     location / {
  12.         root   /var/www/test;
  13.                 index  index.html index.htm index.php;
  14.                 if ( $ip_list = 0 ) {
  15.                 #判断默认值,如果值为0,可访问,这时上面添加的IP为黑名单。
  16.                 #白名单,将设置$ip_list = 1,这时上面添加的IP为白名单。
  17.                 proxy_pass http://192.168.152.100:8081;
  18.     }
复制代码
同样可通过读取文件IP配置
  1. geo $ip_list {
  2.     default 0;
  3.     #设置默认值为0
  4.     include ip_white.conf;
  5. }
  6. server {
  7.     listen       8081;
  8.     server_name  192.168.152.100;
  9.    
  10.     location / {
  11.         root   /var/www/test;
  12.                 index  index.html index.htm index.php;
  13.                 if ( $ip_list = 0 ) {
  14.                         return 403;
  15.                         #限制的IP返回值为403,也可以设置为503,504其他值。
  16.                         #建议设置503,504这样返回的页面不会暴露nginx相关信息,限制的IP看到的信息只显示服务器错误,无法判断真正原因。
  17.     }
复制代码
在/etc/nginx目录下创建ip_list.conf,添加IP完成后,查看如下:
cat /etc/nginx/ip_list.conf
192.168.152.1 1;
192.168.150.0/24 1;

设置完成,ip_list.conf的IP为白名单,不在名单中的,直接返回403页面。黑名单设置方法相同。
3、ngx_http_geo_module 负载均衡(扩展)
ngx_http_geo_module,模块还可以做负载均衡使用,如web集群在不同地区都有服务器,某个地区IP段,负载均衡至访问某个地区的服务器。方式类似,IP后面加上自定义值,不仅仅数字,如US,CN等字母。
示例:
如果三台服务器:122.11.11.11,133.11.12.22,144.11.11.33

  1. geo $country {
  2.     default default;
  3.     111.11.11.0/24   uk;
  4.     #IP段定义值uk
  5.     111.11.12.0/24   us;
  6.     #IP段定义值us
  7.     }
  8. upstream  uk.server {
  9.     erver 122.11.11.11:9090;
  10.     #定义值uk的IP直接访问此服务器
  11. }

  12. upstream  us.server {
  13.     server 133.11.12.22:9090;
  14.     #定义值us的IP直接访问此服务器
  15. }

  16. upstream  default.server {
  17.     server 144.11.11.33:9090;
  18.     #默认的定义值default的IP直接访问此服务器
  19. }

  20. server {
  21.     listen    9090;
  22.     server_name 144.11.11.33;

  23.     location / {
  24.       root  /var/www/html/;
  25.       index index.html index.htm;
  26.      }
  27. }
复制代码
二、国家地区IP限制访问
有些第三方也提供设置,如cloudflare,设置更简单,防火墙规则里设置。这里讲讲nginx的设置方法。

1:安装ngx_http_geoip_module模块
ngx_http_geoip_module:官方文档,参数需设置在位置在http模块中。
nginx默认情况下不构建此模块,应使用 --with-http_geoip_module 配置参数启用它。
对于ubuntu系统来说,直接安装 nginx-extras组件,包括几乎所有的模块。
sudo apt install nginx-extras
对于centos系统,安装模块。
yum install nginx-module-geoip

2、下载 IP 数据库
此模块依赖于IP数据库,所有数据在此数据库中读取,所有还需要下载ip库(dat格式)。
MaxMind 提供了免费的 IP 地域数据库,坏消息是MaxMind 官方已经停止支持dat格式的ip库。
在其他地方可以找到dat格式的文件,或者老版本的,当然数据不可能最新,多少有误差。
第三方下载地址:https://www.miyuru.lk/geoiplegacy
下载同时包括Ipv4和Ipv6的country、city版本。

  1. #下载国家IP库,解压并移动到nginx配置文件目录,
  2. sudo wget https://dl.miyuru.lk/geoip/maxmind/country/maxmind.dat.gz
  3. gunzip maxmind.dat.gz
  4. sudo mv maxmind.dat /etc/nginx/GeoCountry.dat

  5. sudo wget https://dl.miyuru.lk/geoip/maxmind/city/maxmind.dat.gz
  6. gunzip maxmind.dat.gz
  7. sudo mv maxmind.dat /etc/nginx/GeoCity.dat
复制代码
3、配置nginx
示例:

  1. geoip_country /etc/nginx/GeoCountry.dat;
  2. geoip_city /etc/nginx/GeoCity.dat;

  3. server {
  4.     listen  80;
  5.     server_name 144.11.11.33;

  6.     location / {
  7.       root  /var/www/html/;
  8.       index index.html index.htm;
  9.       if ($geoip_country_code = CN) {
  10.                           return 403;
  11.                 #中国地区,拒绝访问。返回403页面
  12.                 }
  13.           }
  14. }
复制代码
这里,地区国家基础设置就完成了。
Geoip其他参数:

  1. 国家相关参数:
  2. $geoip_country_code #两位字符的英文国家码。如:CN, US
  3. $geoip_country_code3 #三位字符的英文国家码。如:CHN, USA
  4. $geoip_country_name #国家英文全称。如:China, United States
  5. 城市相关参数:
  6. $geoip_city_country_code #也是两位字符的英文国家码。
  7. $geoip_city_country_code3 #上同
  8. $geoip_city_country_name #上同.
  9. $geoip_region #这个经测试是两位数的数字,如杭州是02, 上海是 23。但是没有搜到相关资料,希望知道的朋友留言告之。
  10. $geoip_city #城市的英文名称。如:Hangzhou
  11. $geoip_postal_code #城市的邮政编码。经测试,国内这字段为空
  12. $geoip_city_continent_code #不知什么用途,国内好像都是AS
  13. $geoip_latitude #纬度
  14. $geoip_longitude #经度
复制代码


免责声明:
1,海欣资源网所发布的资源由网友上传和分享,不保证信息的正确性和完整性,且不对因信息的不正确或遗漏导致的任何损失或损害承担责任。
2,海欣资源网的资源来源于网友分享,仅限用于学习交流和测试研究目的,不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
3,海欣资源网所发布的资源由网友上传和分享,版权争议与本站无关,您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。
4,如果您喜欢,请支持正版,购买正版,得到更好的正版服务,如有侵权,请联系我们删除并予以真诚的道歉,联系方式邮箱 haixinst@qq.com
海欣资源-企业信息化分享平台。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

0

关注

0

粉丝

24

主题
热度排行
回复排行
最新贴子

Archiver|手机版|海欣资源 ( 湘ICP备2021008090号-1 )|网站地图

GMT+8, 2024-10-6 02:22 , Gzip On, MemCached On.

免责声明:本站所发布的资源和文章均来自网络,仅限用于学习交流和测试研究目的,不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。 本站信息来自网络,版权争议与本站无关,您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。 如果您喜欢,请支持正版,购买正版,得到更好的正版服务,如有侵权,请联系我们删除并予以真诚的道歉。