基于Geoip2实现Nginx拦截国外IP访问网站

最新推荐文章于 2024-05-02 02:52:20 发布
最新推荐文章于 2024-05-02 02:52:20 发布
阅读量1.6k 收藏 25
点赞数 20
分类专栏: 服务器&运维 文章标签: 网络 nginx ip 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caizi1288/article/details/135224113
版权

最近公司上线了一个APP,过段时间发现告警群总有些莫名的异常,通过排查发现是被攻击了,并且攻击IP全是国外的,基于APP业务全在国内,最简单办法就是屏蔽这些IP。云上虽有产品但收费,自己动手才是王道。

目录

一、实现思路

二、配置方法   

2.1 软件下载

2.1.1 Nginx下载

2.1.2 IP识别模块下载

2.1.3 IP库下载

2.2 安装步骤

2.2.1 安装geoip2依赖

2.2.2 nginx配置IP库

2.2.3 添加IP拦截逻辑

一、实现思路

 

实现方法需要使用到ngx_http_geoip2模块,对于未装过Nginx环境的步骤可以参考阿里云上的一篇文章 https://developer.aliyun.com/article/982261。如果对于已经有Nginx情况下再添加新模块,过程会有些不一样,当初在配置时还是踩了一些坑。所以本文重点是介绍已有Nginx情况怎么升级。

二、配置方法   

2.1 软件下载

2.1.1 Nginx下载

添加新的Nginx Module必须要用到Nginx源程序对Module进行编译,所以还需要下载Nginx,版本要和当前运行的Nginx版本一致。若下载其它版本,直接修改链接中的版本号即可,如果机器上已经有Nginx安装源文件可以无须下载。 

http://nginx.org/download/nginx-1.20.1.tar.gz

2.1.2 IP识别模块下载

ngx_http_geoip2_module模块是实现IP拦截的一个Nginx 模块,必须下载。

模块官方git地址https://github.com/leev/ngx_http_geoip2_module

模块下载地址https://codeload.github.com/leev/ngx_http_geoip2_module/zip/refs/heads/master

2.1.3 IP库下载

geoip2 module仅是一个模块程序并不包含IP库数据,所以还需要单独下载IP库。IP没有好的规则可以直接判断是哪个国家的,所以只能使用IP库进行判断,这个库可以去maxmind官网免费下载,但要先注册账号。

https://www.maxmind.com/en/geoip2-databases?utm_source=kb&utm_medium=kb-link&utm_campaign=kb-create-account

下面文件是2023-04-20号新下载的,ip库比较新,如果要保证拦截准确率的话后面定期更新即可,理论上来说变化不会太大。

文件大家可以在下面链接下载 https://download.csdn.net/download/caizi1288/88665724

下载ip到国家的库就行,会比较小点,比如要精确到城市的话,文件有60m

2.2 安装步骤

阿里云文档提供的是新搭建nginx时的安装方法,对于已经安装好nginx的系统再添加该Module时,坑稍微有点多。

2.2.1 安装geoip2依赖

1、给系统安装geoip2扩展依赖

  yum install libmaxminddb-devel -y

2对module进行编译

进入到nginx源文件中,执行以下命令

./configure --add-dynamic-module=/path/to/ngx_http_geoip2_module make

make install

#make install 命令只是用来编译可以生成Module.so文件,并不是真正的就安装到nginx上了

3、配置Module到nginx中

 编译成功会生成ngx_http_geoip2_module.so,此时要配置到nginx中

load_module "/usr/lib64/nginx/modules/ngx_http_geoip2_module.so";

配置好后此时执行nginx -t有可能会遇到以下问题

nginx -t shows: nginx: [emerg] module "/usr/share/nginx/modules/ngx_http_geoip2_module.so" is not binary compatible in /etc/nginx/nginx.conf:5

出现该问题是因为给已经安装过的nginx添加新的Module时需要把之前已经安装过的module信息全部加进来一起编译,这个问题可以见 Issues https://github.com/leev/ngx_http_geoip2_module/issues/82

需要使用以下方式重新编译,编译后再重新执行nginx -t

nginx -V 2>&1 | egrep "^configure" | cut -d: -f2 > /tmp/nginx_build_options.txt sh -c "./configure $(cat /tmp/nginx_build_options.txt) --add-dynamic-module=../ngx_http_geoip2_module-master"

2.2.2 nginx配置IP库

在nginx 的http 中加入ip库及字典变量配置

GeoLite2-Country.mmdb ip库文件需要下载后传到服务器上

    #从geoip2文件中加载数据,1000分钟自动reload一次数据
    geoip2 /home/geoip2/GeoLite2-Country.mmdb {
        auto_reload 1000m;
        $geoip2_data_country_code country iso_code;
    }
   
    # 如果是CN IP返回yes,其它国家都返回no 
    map $geoip2_data_country_code $allowed_country {
          default no;
          CN yes;
    }

   

2.2.3 添加IP拦截逻辑

可以把以下规则放到一个文件中,其它server引用该配置: deny-ip.conf

#如果变量值为no,则直接返回403
if ($allowed_country = no) {
     return 403;
 }

 

在server中引用以上规则(哪个server要拦截,哪个server去加上就行了,http、https要分别添加)

include /etc/nginx/deny-ip.conf;

三、常见问题

编译Module可能会遇到一些问题,缺少的model重新安装即可

1、 ./configure: error: SSL modules require the OpenSSL library.

重新安装

sudo yum install openssl-devel

2、 ./configure: error: the HTTP XSLT module requires the libxml2/libxslt

sudo yum install libxml2-devel libxslt-devel

南天一梦N
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
关于使用geoip2获取IP地址的位置
weixin_43972292的博客
12-10 3219
昨天一个同学给我出了一道题,使用geoip2模块,获取一个IP地址的地理位置信息。 经过几个小时的研究,终于搞定了。将一些过程写出来,我开始在网上寻找一些教程,按步骤来并没有成功,因为我使用的python解释器为Pycharm,加上Anaconda3,开始使用  import geoip2.database 命令时提示没有geoip2这个模块,我就点击Pycharm上的提示安装geoip包,但是...
PHP版基于GeoIP2实现根据ip获取地理位置
06-24
PHP版基于GeoIP2实现根据ip获取地理位置 laravel php版本大于7.2
SpringBoot集成GeoLite2/GeoIP2---解析ip地址,获取信息
Tm598035415的博客
07-06 1585
链接:https://pan.baidu.com/s/1sR2BlGV_3Fr8MflMPOGUPw。链接:https://pan.baidu.com/s/1LQE6v2h_4pnWlzesaWy-8A。下载页面分几种类型数据,可以按照需求选择,国家级、城市级。
企业运维实践-Nginx使用geoip2模块并利用MaxMind的GeoIP2数据库实现处理不同国家或城市的访问最佳实践指南
最新发布
m0_55030688的博客
05-02 176
geoip2datacountrydefault中国sourcegeoip2_data_country "default=中国" source=geoip2d​atac​ountrydefault中国source# 中国# CN# 亚洲# AS# 浙江省# “ZJ”# 杭州。
Nginx 搭配 GeoIP2 限制指定城市IP访问
weixin_45761659的博客
02-10 1578
Nginx 搭配 GeoIP2 限制指定城市IP访问
NginxIP国家代码ngx_http_geoip2_module模块简介和使用
月生的静心苑
11-26 3920
ngx_http_geoip2_module模块使用预编译的MaxMind数据库创建变量,其值取决于客户端 IP 地址 ,通过此模块我们可以精准的限制或者允许某个国家的IP地址访问WEB站点。MaxMind的GeoIP2和GeoLite2 IP智能产品和服务用于发现有关特定IP地址的信息。我们提供免费和付费网络服务、基于订阅的可下载数据库和免费可下载数据库。我们学习使用免费版本的就可以,当然付费版本的更新更及时,内容更详细(包括国家、城市、经纬度、运营商、甚至企业信息)。
实践:nginx代理,通过使用GeoIp模块获取访问IP访问地区信息
qq_45554167的博客
10-28 3426
目的:为了获取访问IP访问地区信息。网上的信息鱼龙混杂,我学习并整合后在这记录一下,方便回忆。同时给需要这项技术的同行留个门。实践的操作机器系统配置(腾讯云轻量应用服务器)
Nginx服务器中配置GeoIP模块来拦截指定国家IP
09-30
Nginx服务器中配置GeoIP模块来拦截特定国家的IP是一项常见的网络安全措施,特别是对于那些希望限制特定地区访问网站GeoIP模块是Nginx的一个扩展,它允许服务器根据访客的IP地址来识别其所在国家或地区,并据此...
NginxGeoIP模块读取IP所在的地域信息方法
01-10
yum install nginx-module-geoip http_geoip_module使用场景 一、区别国内外作HTTP访问规则 二、区别国内城市地域作HTTP访问规则 yum 安装好后找到安装的模块文件 如果nginx是用yun安装的一般是安装到 /etc/nginx/...
nginx-geoip2模块使用详解
qq522044637的博客
01-26 6149
nginx geoip2模块配置参数详解
Nginx实践之使用MaxMind的GeoIP2实现处理不同国家的访问
weixin_54104864的博客
08-18 1014
场景:因防火墙到期,原网站接入的需要回到公网的解析,经过分析,站点只需要国内访问。于是想到了用地址过滤,目前比较火的是nginx的allow和deny,另外一种是geoip,geoip2区别:GeoIP用于通过IP获取地理位置信息,但精度有限,更适用于大致定位。GeoIP已经发展到GeoIP2,文件格式从.dat变为.mmdb。MaxMind提供免费的GeoLite数据库,但已经停止更新GeoIP格式(.dat),只维护GeoIP2格式(.mmdb)。
Google全球IP地址库
08-13
Google 全球 IP 地址库
geoip2配置及使用
m0_55877125的博客
03-01 776
geoip2使用教程,限制区域IP访问
通过GeoIP2分析访问IP获取地理位置信息
热门推荐
王吉军-全栈工程师
12-19 3万+
MaxMind GeoIP2 服务能识别互联网用户的地点位置与其他特征,应用广泛,包括个性化定制内容、诈欺检测、广告定向、网站流量分析、执行规定、地理目标定位、地理围栏定位 (geo-fencing)以及数字版权管理。目前使用 GeoIP 更多是配合Nginx或Apache服务器进行日志分析获取网站访问量地域分布状况。
使用-Nginx-GeoIP2-获取客户端地理位置及限制指定地区访问
lin2ur的博客
04-24 539
在日常工作中有时候我们需要获取用户所在的地区以便做一些特殊处理,比如根据地区展示不同的内容,或者限制某些地区的访问等。本文将介绍如何使用 Nginx + GeoIP2 模块获取用户所在地区以及限制指定地区访问
nginx-配置GeoIP2模块获取地域信息
qq522044637的博客
01-21 3625
1.重新编译nginx命令,加载ngx_http_geoip2_module模块 1.1安装libmaxminddb依赖 libmaxminddb git地址:GitHub - maxmind/libmaxminddb: C library for the MaxMind DB file format wget https://github.com/maxmind/libmaxminddb/releases/download/1.6.0/libmaxminddb-1.6.0.tar.gz tar -
Nginx使用GeoIP2模块记录请求IP地理位置
四文鱼Max的博客
04-26 1099
Nginx使用GeoIP2模块记录请求IP地理位置
nginxnginx+geoip
cassielfyl的博客
01-18 629
步骤 1、在root家目录下安装docker yum install docker 2、启动docker服务 service docker start 3、使用docker 拉取nginx-geoip2 docker pull czerasz/nginx-geoip2 4、创建nginx配置文件 vi nginx.conf 5、将以下两个文件放置到自己设定的位置 GeoLite...
IP地址库资源整理
arnold66的专栏
02-27 3243
安全搞了十几年, 常用的数据资源主要包含IP地址库、威胁情报库、漏洞资源库,各类安全产品成熟后都不免会引入这些数据库做数据丰富拓展或检测。但是由于这些资源的收集都是阶段性的工作,并没有记录下来各类资源的地址,导致每次换工作或长时间不用后都忘记资源地址,而且有些资源站过了一个阶段后会逐渐停更。因此为了记录和随时更新各类资源站的情况而写下次文章,同时也希望能为一些志同道合的同志们提供参考。本文主要介绍一些免费的IP地址库资源。
thinkphp+geoip实现项目仅巴西ip访问
07-14
要在 ThinkPHP 中使用 GeoIP 拓展实现仅允许巴西 IP 访问项目,你可以按照以下步骤进行操作: 1. 安装 GeoIP 拓展:首先,你需要确保已经安装了 GeoIP 拓展。你可以根据你的操作系统和 PHP 版本选择适当的安装方式,并确保在 `php.ini` 文件中启用了 GeoIP 拓展。 2. 获取客户端 IP:在 ThinkPHP 中,你可以使用 `Request` 对象来获取客户端的 IP 地址。例如,可以使用 `$request->ip()` 方法来获取 IP 地址。 3. 使用 GeoIP 拓展判断 IP 地址是否为巴西 IP:通过 GeoIP 拓展,你可以根据 IP 地址获取其对应的地理位置信息。你可以使用 `geoip_country_code_by_name()` 函数来获取 IP 对应的国家代码。在这里,你可以判断获取的国家代码是否为巴西("BR")。 4. 编写中间件(Middleware):创建一个中间件类,用于实现 IP 访问限制的逻辑。你可以使用以下命令创建中间件文件: ``` php think make:middleware BrazilIPFilter ``` 5. 在中间件中实现 IP 访问限制逻辑:打开生成的 `BrazilIPFilter.php` 文件,在 `handle` 方法中编写判断逻辑。例如: ```php <?php namespace app\middleware; class BrazilIPFilter { public function handle($request, \Closure $next) { $clientIP = $request->ip(); $countryCode = geoip_country_code_by_name($clientIP); if ($countryCode !== 'BR') { // 不是巴西 IP,可以返回自定义的响应或重定向到其他页面 return redirect('/other-page'); } return $next($request); } } ``` 6. 注册中间件:将中间件注册到全局中间件或指定的路由中。你可以在 `app/middleware` 目录下的 `middleware.php` 文件中,将中间件添加到全局中间件。例如: ```php return [ // 全局中间件 \app\middleware\BrazilIPFilter::class, ]; ``` 7. 使用中间件:将中间件应用到需要限制访问的路由上。在路由配置文件(如 `route/route.php`)中,使用 `middleware` 方法将中间件应用到指定路由上。例如: ```php Route::rule('admin', 'admin/index')->middleware(\app\middleware\BrazilIPFilter::class); ``` 通过以上步骤,你可以实现在 ThinkPHP 项目中仅允许巴西 IP 访问。请根据你的实际需求进行相应的修改和调整。如有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南天一梦N

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值