nginx通过http_x_forwarded_for限制来访IP示例

已于 2023-01-16 10:21:04 修改
阅读量8.5k 收藏 9
点赞数
分类专栏: Nginx 文章标签: nginx http tcp/ip
于 2021-06-17 10:29:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Skywin88/article/details/117983840
版权

由于入访经过负载均衡设备,后端nginx无法获取client_ip,只能通过http_x_forwarded_for获取到最原始用户IP。这里通过http_x_forwarded_for来限制固定IP的用户可以访问。

普通client_ip限制方法

#反向代理地址
upstream sandbox-open {
    server 10.10.10.5:8080;
}

#30001对外端口
server {
    listen 30001;
    server_name  sandbox.open.com;

    access_log  /var/log/nginx/sandbox-open_access.log;
    client_max_body_size   20m;

    location / {

	# 仅允许如下client_ip访问
	allow 10.10.10.12;
	allow 10.10.11.12/24;
	deny all;

      proxy_http_version 1.1;
      proxy_set_header Connection ""; 
      proxy_set_header Host $host;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_pass  http://sandbox-open;
      proxy_redirect off;
   }

http_x_forwarded_for限制方法1(推荐)

#http_x_forwarded_for地址不在下列IP中则返回403
map $http_x_forwarded_for $accessip {
	default false;
	#10.10.10.10(IP匹配)
	10.10.10.10 true;
	10.10.10.11 true; 
	10.10.10.12 true;  
	#10.10.50.0/24(网段匹配)
	~*10.10.50. true;
}

#反向代理地址
upstream sandbox-open {
	server 10.10.10.5:8080;
}

#30001对外端口
server {
    listen 30001;
    server_name  sandbox.open.com;

    access_log  /var/log/nginx/sandbox-open_access.log;
    client_max_body_size   20m;

    location / {
		#http_x_forwarded_for地址不在下列IP中则返回403
		if ( $accessip = 'false') {return 403;}

		proxy_http_version 1.1;
		proxy_set_header Connection ""; 
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_pass  http://sandbox-open;
		proxy_redirect off;
   	}

http_x_forwarded_for限制方法2

#反向代理地址
upstream sandbox-open {
    server 10.10.10.5:8080;
}

#30001对外端口
server {
    listen 30001;
    server_name  sandbox.open.com;

    access_log  /var/log/nginx/sandbox-open_access.log;
    client_max_body_size   20m;

    location / {
		#http_x_forwarded_for地址不在下列IP中则返回403
		set $accessip false;
		if ( $http_x_forwarded_for = '10.10.10.10' )  {set $accessip true;}
		if ( $http_x_forwarded_for = '10.10.10.11' )  {set $accessip true;}
		if ( $http_x_forwarded_for = '10.10.10.12' )  {set $accessip true;}
		if ( $http_x_forwarded_for = '192.168.1.1' )  {set $accessip true;}
		if ( $accessip = 'false') {return 403;}

		proxy_http_version 1.1;
		proxy_set_header Connection ""; 
		proxy_set_header Host $host;
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_pass  http://sandbox-open;
		proxy_redirect off;
   }

此方法测试后发现只能单个IP添加 用如下正则匹配IP段匹配不到
if ( $http_x_forwarded_for = ‘~*10.10.50.’ ) {set $accessip true;}

skywin88
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
nginx实现ip端口转发_Nginx80端口转发+域名——实现IP+端口隐藏
weixin_33869754的博客
12-28 1102
一.目的1.相信大家会遇到这样的问题:当一台服务器部署多个tomcat应用时,当我们访问tomcat时,需要在浏览器中输入服务器IP+端口号,这看起来非常的low。二. 环境1台服务服务器 假如IP:192.168.1.10一个ngnix 使用默认端口为80Tomcat1 端口为18501 申请域名为: 域名1 对应服务器ip 192.168.1.10Tomcat2 端口为18502 申请域名为:...
Nginx HTTP 请求头中的 X-Forwarded-For
小楼一夜听春雨,深巷明朝卖杏花
07-20 1万+
背景 通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。 X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client
利用HTTP_X_FORWARDED_FOR获取客户端IP(http代理的相关知识)
曾几何时
02-28 3173
Request.ServerVariables变量意义. http代理相关知识Request.ServerVariables["HTTP_VIA"]---------可以获得用户内部的ipRequest.ServerVariables["HTTP_X_FORWARDED_FOR"]---------可以知道代理服务器的服务器名以及端口Request.ServerVariables["REMOTE_
HTTP协议头中X-Forwarded-For是能做什么?
xianweijian的博客
07-01 770
只要nginx前端(例如lvs, varnish)转发请求给nginx的时候,带了x-forwarded-for ,那么程序就一定能读到这个字段,如果nginx还设置了proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for, 那么程序能读到XFF是:ip0, ip1 (客户端Ip,lvs或者varnishIP)。如果nginx没有设置,那么nginx还是会原样把http头传给程序,也就是说程序也能读到XFF,而且XFF就是ip0 客户端IP
nginx看这一篇就够了!!!
最新发布
2303_78256166的博客
07-08 1128
http协议时超文本传输协议的缩写,用于从万维网服务器传输超文本到本地浏览器的传输协议 http工作原理 http协议工作于客户端-服务端架构上,浏览器作为http客户端通过url向http服务端即web服务器发送所有请求 web的服务器有:nginx、apache服务器、iis服务器等 web服务器根据接收到的请求后,向客户端发送响应信息 http默认端口号为80,但也可以修改为8080或其他端口 ​ http三点注意事项: http是无连接的:无连接的含义是限制每次链接只处理一个请求,服务器处理完客户
Nginx限制某个IP同一时间段的访问次数
weixin_34334744的博客
03-24 355
nginx可以通过HttpLimitReqModul和HttpLimitZoneModule配置来限制ip在同一时间段的访问次数. HttpLimitReqModul用来限制连单位时间内连接数的模块,使用limit_req_zone和limit_req指令配合使用来达到限制。一旦并发连接超过指定数量,就会返回503错误。 HttpLimitConnModul用来限制单个ip的并发连接数,使用l...
获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR)
8292669的专栏
05-29 7506
分析过程 这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 function getIP() { if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; } else
web站点获取用户IP的安全方法 HTTP_X_FORWARDED_FOR检验
weixin_30686845的博客
05-31 100
通过上一篇,获取用户Ip地址通用方法常见安全隐患(HTTP_X_FORWARDED_FOR),我们已经意 识到直接从http_x_forwarded_for中读取用户IP,跟我们直接从一个get,post值中读取其实没有两样。web参数检测里面一个基本原则:“一切输入都是有害的”,因此,只要是输入我们就需要进行过滤。 安全过滤后的getIP函数 func...
nginx配置允许指定IP访问 (利用$http_x_forwarded_for)
u012549182的博客
11-14 999
获取用户真实IP,并赋值给变量$clientRealIP。编辑 limit_ip.conf。
Nginx_http_flv.rar
08-03
标题 "Nginx_http_flv.rar" 暗示了我们正在讨论的是 Nginx Web 服务器的一个扩展模块,即 `http_flv_module`。这个模块使得 Nginx 能够支持流媒体服务,特别是 Flash Video (FLV) 格式的实时流。`nginx-1.19` 表明...
添加了http_image_filter_module模块的Nginx
08-04
**添加了http_image_filter_module模块的Nginx详解** Nginx是一款高性能的HTTP和反向代理服务器,因其高效稳定、内存占用低以及强大的负载均衡能力而被广泛应用于Web服务中。在Nginx中,模块是其核心功能的组成部分...
获取用户Ip地址通用方法与常见安全隐患(HTTP_X_FORWARDED_FOR)
12-19
分析过程 这个来自一些项目中,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。 复制代码 代码如下: function getIP() { if (isset($_SERVER[‘HTTP_X_FORWARDED_FOR’])) { $realip = $_SERVER[‘HTTP_X_FORWARDED_FOR’]; } elseif (isset($_SERVER[‘HTTP_CLIENT_IP’])) { $realip = $_SERVER[‘HTTP_CLIENT_IP’]; } else { $realip = $_SERV
Nginx服务器实现通过ip和user_gent限制访问的方法分析
09-29
在面对DDoS(Distributed Denial of Service)攻击时,Nginx提供了多种手段来限制特定IP地址和user_agent,从而保护服务器免受恶意访问的影响。本文将详细介绍如何在Nginx配置中实现这一功能。 首先,我们来看如何...
windows +nginx + ip_hash四段计算
05-19
根据nginx源码进行ip_hash四段计算,实现负载均衡
Nginx安装+nginx_upstream_check_module后端健康检查
02-23
patch -p0 < ../nginx_upstream_check_module-master/check_1.9.2+.patch ./configure --prefix=/usr/local/nginx \ --with-http_ssl_module --with-http_stub_status_module --with-pcre \ --with-...
nginx访问控制:如何通过map来控制http_x_forwarded_for访问限制
q421533518的博客
02-06 1094
nginx通过防护墙、F5设备过来之后,remote_addr 的地址是防护墙、F5的地址, 客户端真是的IP地址是在 x_forwarded_for中的, 这样这样 nginx 默认的 deny 和 allow 就不能用了。 我们需要在每个域名中判断一个 x_forwarded_for 钟是否有我们要拒绝的IP地址,如果有就返回403,不在往后代理。 我们定义一个map 拒绝的IP地址列表。 cat x_forwarded_for_deny.conf map $http_x_forwarded_for
HTTP 请求头中的 X-Forwarded-For
赶路人儿
08-01 2万+
通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client, prox
HTTP 请求头中的 X-Forwarded-For(XFF)
热门推荐
义臻的博客
03-12 3万+
在Java代码实践中,有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中获得,但他们的安全性和使用场景各有不同。一旦用错,就可能为系统造成漏洞。因此,需要开发者对这两个参数深入的理解。 Remote Address代表的是当前HTTP请求的远程地址,即HTTP请求的源地址。HTTP协议在三次握手时使用的就是这个R...
获得用户的真实ip HTTP_X_FORWARDED_FOR
天宝的博客
03-26 2万+
工作中经常会有有获得用户真实ip的情况,HTTP_X_FORWARDED_FOR这个函数总是忘记,所以我这里记录下来吧. 在PHP 中使用 [“REMOTE_ADDR”] 来取得客户端的 IP 地址,但如果客户端是使用代理服务器来访问,如果要获取真正的ip就需要使用[‘HTTP_X_FORWARDED_FOR’]. if(isset($_SERVER['HTTP_X_FORWARDED_FOR']...
nginx如何使用http_x_forwarded_for进行访问限制
05-31
要使用`http_x_forwarded_for`进行访问限制,您可以在Nginx的配置文件中添加如下代码: ``` # 允许特定IP访问 location / { if ($http_x_forwarded_for != "特定IP地址") { return 403; } # 其他的配置项 } ``` 这个配置中,`$http_x_forwarded_for`是一个内置变量,它会检查请求头中是否包含`X-Forwarded-For`字段。如果包含,则说明该请求是通过代理服务器发起的,此时Nginx会检查`X-Forwarded-For`字段的值是否为特定IP地址,如果不是,则返回403错误,拒绝访问。 需要注意的是,由于代理服务器可以伪造`X-Forwarded-For`字段,因此这种方式并不能完全保证安全。如果需要更加安全的措施,建议使用其他方式进行身份验证和授权。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值