二、Nginx常用模块-IP黑白名单

最新推荐文章于 2023-08-01 09:07:06 发布
最新推荐文章于 2023-08-01 09:07:06 发布
阅读量586 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Edu_enth/article/details/103165400
版权

简介

设置IP黑白名单之前,我们先要了解下用到的模块。
http_access_module ngx_http_geo_module ngx_http_map_module

IP访问控制模块 http_access_module

Nginx的deny和allow指令是由 模块提供,Nginx安装默认内置了该模块。 除非在安装时有指定 --without-http_access_module。
用来对特定IP的进行访问控制
默认是允许所有IP访问,若部分允许需要定义deny all

  • allow
    语法: allow address | CIDR | unix: | all;
    默认值: —
    区块: http, server, location, limit_except
    允许某个ip或者一个ip段访问
  • deny
    语法: deny address | CIDR | unix: | all;
    默认值: —
    区块: http, server, location, limit_except
  • allow、deny实例
location / {
	deny 192.168.1.1;
	allow 192.168.1.0/24;
	allow 47.98.147.49;
	deny all;
}

比如可以限制某些目录下的某些文件的访问, 具体可以自己组合

  • 禁止访问所有目录下的 sql|log|txt|jar|sh|py 后缀的文件
location ~.*\.(sql|log|txt|jar|war|sh|py|php) {
	deny all;
}

ngx_http_geo_module

ngx_http_geo_module 模块创建变量,并根据客户端IP地址对变量赋值。
语法: geo [$address] $variable { … }
默认值: —
上下文: http

geo $geo {
    default        0;
    127.0.0.1/32   2;
    192.168.1.0/24 1;
    10.1.0.0/16    1;
}

定义从指定的变量获取客户端的IP地址。
默认情况下,nginx从$remote_addr变量取得客户端IP地址,但也可以从其他变量获得(0.7.27版),比如:

geo $arg_remote_addr $geo {
    ...;
}

ngx_http_map_module

文档:http://tengine.taobao.org/nginx_docs/cn/docs/http/ngx_http_map_module.html

模块 ngx_http_map_module 可以创建一些和另外变量相关联的变量。
语法: map string $variable { … }
默认值: —
上下文: http

如果源变量值没有匹配到任何变量,则设置一个默认值作为结果。 当没有设置 default,将会用一个空的字符串作为默认的结果。
如果源值匹配了多余一个的指定变量,例如掩码和正则同时匹配,那么将会按照下面的顺序进行优先选择:
1.没有掩码的字符串
2.最长的带前缀的字符串,例如: “.example.com”
3.最长的带后缀的字符串,例如:“mail.
4.按顺序第一个先匹配的正则表达式 (在配置文件中体现的顺序)
5.默认值

这里使用一个参数:
名称:
a r g P A R A M E T E R H T T P 描 述 : 请 求 中 某 个 参 数 的 值 , 如 / i n d e x . p h p ? s i t e = w w w . b a i d u . c o m , 可 以 用 arg_PARAMETER HTTP 描述: 请求中某个参数的值, 如/index.php?site=www.baidu.com, 可以用 argPARAMETERHTTP/index.php?site=www.baidu.comarg_site取得www.baidu.com这个值.
这里我们使用参数name来给geo赋值IP(必须是IP),然后再让$name根据geo的值返回不同的信息
我们和geo结合使用实例:

http模块内
geo $arg_name $geo {
        default 0;
        127.0.0.1 1;
        1.2.3.4 2;
        1.2.3.5 3;
    }

    map $geo $name{
        0 default;
        1 forbin;
        2 allow;
        3 other;
    }
server模块内:
location = /test1 {
       default_type text/html ;
       return 200  $name;
}

访问web返回

http://localhost/test1 =>default
http://localhost/test1?name=1.2.3.5 =>other

IP黑白名单

我们就可以使用这三个模块来进行IP黑白名单的设置。
这里我们只分析白名单:
我们希望只被我们允许的网段能访问我们,其他都不可以访问。其中geo默认是从$remote_addr中获取IP,这里我们为了方便测试,改成从url的参数name中获取IP。
这里只用到geo和return

#http模块内:
#0是返回空字符串,1是返回远程地址(允许访问)
geo $arg_name $geo {
    default 0;
    1.2.3.0/24 1;
}
map $geo $name{
        0 "";
        1 $remote_addr;
    }
  #server模块内:
location = /test1 {
        if ( $geo != 1 ) {
          return 403;
        }
        default_type text/html ;
        return 200  $name;
}

访问WEB

http:/localhost/test1?name=1.2.3.4=>返回客户端地址
http:/localhost/test1?name=1.2.4.4=>返回403
http:/localhost/test1=>返回403
总结

ngx_http_core_module
ngx_http_access_module 访问控制模块
ngx_http_gzip_module
ngx_http_fastcgi_module
ngx_http_proxy_module
ngx_http_upstream_module
ngx_http_rewrite_module
ngx_http_limit_conn_module 限制用户并发连接数以及请求数模块
ngx_http_limit_req_module 根据定义的key限制nginx请求过程的速率
ngx_http_log_module
ngx_http_auth_basic_module web认证模块
ngx_http_ssl_module
ngx_http_stub_status_module 记录nginx基本访问状态信息等的模块

InterestingFigure
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NGINX 域名及IP白名单拦截,Referer防盗链设置
open
07-05 1542
针对线上对外NGINX代理服务安全非常重要,接下来针对域名IP白名单配置来拦截非法请求,同时通过Referer防盗链设置判断该请求是否为合法请求,具体看本文测试操作结果。 server_name www.test.com 172.17.80.104; if ($http_Host !~* ^www.test.com|172.17.80.104$) { return 500; } server_n
IP白名单
weixin_42023748的博客
03-28 128
【代码】IP白名单
nginx利用geo模块做限速白名单以及geo实现全局负载均衡的操作记录
weixin_33733810的博客
12-12 240
  Nginxgeo模块不仅可以有限速白名单的作用,还可以做全局负载均衡,可以要根据客户端ip访问到不同的server。比如,可以将电信的用户访问定向到电信服务器,网通的用户重 定向到网通服务器”,从而实现智能DNS的作用。前面介绍过nginx域名访问的白名单配置梳理,下面对nginxgeo模块使用做一梳理(参考Geo模块-Nginx中文文档) geo指令是通过ngx_http_geo_mo...
Nginx实现IP白名单
i289292951的博客
02-16 2446
Nginx实现IP白名单
Nginx(tengine)添加mp4流媒体支持
walk_hai的专栏
03-01 1万+
Nginx(tengine)添加mp4流媒体支持 #百度或谷歌下载nginx_mod_h264_streaming-2.2.7.tar.gz #解压 #tar -xzvf nginx_mod_h264_streaming-2.2.7.tar.gz #cd nginx_mod_h264_streaming-2.2.7 修改Makefile文件中NGINX项的值为NGINX=$(HO
Tengine——基础知识【转】
weixin_33724046的博客
01-01 332
很多朋友对淘宝的Tengine感兴趣啊!现在将Tengine的一些资料整理整理分享于此。希望能与大家共同交流与学习,努力完成屌丝的逆袭!哈哈:)顺便感谢淘宝文景、淘宝卫越等各路牛人,很多东西都来自他们的分享。至于Tengine的特性以及应用场景,参考这个吧:http://tengine.taobao.org/download/taobao_nginx_2012_06.pdf我的帖子主要进行个有...
nginx配置IP白名单的步骤介绍
hdxx2022的博客
08-01 1618
到此这篇关于nginx配置IP白名单的文章就介绍到这了,希望可以对你有所帮助。微点阅读。
lua-nginx-module-master.zip
05-12
5. **应用案例**:常见的应用场景有动态响应生成、访问控制(如基于IP白名单)、API网关路由、实时日志处理、缓存管理等。Lua脚本的引入使得Nginx能够快速响应变化,减少对后端服务的依赖。 6. **性能考虑**:...
Complete-NGINX-Cookbook-2019.zip
11-12
8. **限速与访问控制**:介绍如何限制客户端请求速率,防止DDoS攻击,以及通过IP白名单、基本认证等方式进行访问控制。 9. **FastCGI与PHP集成**:讲解如何将Nginx与FastCGI结合,以处理PHP动态内容,包括FastCGI...
fastdfs-nginx-module.tar.gz
11-29
4. **安全控制**:Nginx可以设置访问控制,如IP白名单、HTTPS加密等,增强系统安全性。 总结,FastDFS与Nginx的集成是构建高可用、高性能文件服务的常见方案。通过`fastdfs-nginx-module`,我们可以轻松地将Nginx...
ip白名单拦截器java示例
06-26
包含表结构(mysql表创建语句),字段说明与使用;拦截器代码(可根据业务进行修改);
Nginx白名单防御模块belialwaf.zip
07-18
这个程序是基于 nginx lua module . 运行平台是 linux freebsd 的 nginx 。。 WIN 的 你可以用个 linux 的 nginx 做反向代理 保护后面的服务。 Belial 目前包含的模块有 : GET 、 POST 、 COOKIE SQL注入防御、文件上传控制、POST白名单审核、nginx路径解释防御、封IP、 自动拦截防御 cc防御。 防御面向的语言是 php .. 其他的~不做考虑 。启用 belial waf 在性能损耗上基本可以忽略~ 有问题请联系俺。 俺的微博: http://weibo.com/shajj 系列使用教程 1、nginx lua 和 belial waf 安装配置 http://www.dwz.cn/awGdk 2、我线上的配置(包括config.lua 和 nginx.conf的配置) https://github.com/nixuehan/Belial/tree/master/example 3、belial waf 目录结构和文件解释 http://dwz.cn/axyOW 4、配置文件参数解释 http://www.dwz.cn/awCYM 5、基本防御机制 http://dwz.cn/axfxQ 6、post白名单机制 http://dwz.cn/axBrV 7、自动拦截机制 http://dwz.cn/axD74 8、CC防御机制 http://dwz.cn/axGjD 9、日志文件 http://dwz.cn/axGN3 标签:belial
nginx实战-基于lua语言
02-08
3. **安全防护**:Lua可以用来实现防火墙规则,如IP白名单、限速策略等,提高系统安全性。 4. **缓存管理**:利用Lua进行缓存操作,如动态计算缓存键、缓存失效策略等。 5. **日志处理**:通过Lua对请求日志进行...
Nginx服务器配置名单或白名单功能的防火墙
01-10
处在白名单中的ip,访问web服务时,将不受nginx所有安全模块的限制。 支持动态名单(需要与ngx_http_limit_req 配合) 具体详见下面的说明 文件配置方法说明 一、定义名单或白名单方法: 1. 配置格式 配置关键字...
Nginx 限流方式(速率限流、并发限流及白名单配置)
Java是世界上最好的语言
12-19 1万+
Nginx现在已经是最火的负载均衡之一,在流量陡增的互联网面前,接口限流也是很有必要的,尤其是针对高并发的场景。Nginx的限流主要是两种方式:限制访问频率和限制并发连接数。 1. 速率限流 1.1 语法 Nginx中我们使用ngx_http_limit_req_module模块来限制请求的访问频率,基于漏桶算法原理实现。接下来我们使用 nginx limit_req_zone 和 limit_req 两个指令,限制单个IP的请求处理速率: 语法:limit_req_zone key zone rate k
Nginx通过geo模块设置白名单
qq_42483967的博客
06-26 2955
原配置:http { ......limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=fifa:10m rate=5r/s;......server {......limit_conn one 5;limit_req zone=fifa burst=100;......}...
nginx 配置 白名单
qinheJ的博客
12-06 1万+
如果你的服务器被攻击很厉害,而且服务器是自己练手的,不需要其他用户访问的,那么就可以配置一下nginx白名单,规定有哪些ip可以访问你的服务器 配置如下: http模块: http { include mime.types; default_type application/octet-stream; #log_format main '$remot...
【利用Nginx实现白名单功能】
wang_xiaoxin的专栏
03-20 5371
nginx白名单、动态、许可代理、脚本
Nginx基础配置之设置IP名单
热门推荐
snow____man的博客
11-05 2万+
名单能有效防止某个IP恶意攻击或者拒绝特定IP的访问 1.nginx访问 首先先确保nginx在正常情况下能被正常访问,否则都不知道是不是名单在起作用了。我之前的博客有写怎么配置 用宿主机访问虚拟机的nginx主页成功 2.创建名单 在/usr/local/nginx/conf下创建名单文件ip.black(叫啥都行) 在文件内容写上列入名单的IP,格式为deny IP 这里我写上我宿...
基于NginxNginx-rtmp -module
最新发布
05-22
Nginx-rtmp-module是一个第三方模块,可以将Nginx扩展为支持RTMP协议的流媒体服务器,提供了RTMP直播、点播和HLS协议的支持,可以满足大多数流媒体应用的需求。使用Nginx-rtmp-module可以快速搭建一个强大的流媒体...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

InterestingFigure

迈克 Let's Go

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值