代理后端的 Nginx 限制真实客户端IP访问问题

最新推荐文章于 2024-12-08 20:38:12 发布
最新推荐文章于 2024-12-08 20:38:12 发布
阅读量6.8k 收藏 8
点赞数 4
分类专栏: Nginx

一、背景–当前问题

1、正常情况,nginx 限制ip访问方式:
# nginx http\server 块中配置
allow 192.168.6.0/16;
# allow all;
deny 1.2.3.4/32;
# deny all;
2、当nginx经过前端 elb(aws负载均衡)、cdn等代理后,来源IP总是elb、cdn等代理 IP地址

当 nginx处于前端负载均衡、cdn等代理后面,来源IP总是代理IP,这样就无法如上对来源IP进行限制访问。

如这里: AWS ELB 后端获取真实客户端IP地址配置,可以获取到来源IP地址,不过只是显示看的,来源IP仍是elb、cdn等IP。

二、 解决方案

既然已经拿到用户真实 IP 地址了,稍加配置,就可以了。

1、在 Nginx 的 http 模块内加入如下配置:
# 获取用户真实IP,并赋值给变量$clientRealIP
map $http_x_forwarded_for  $clientRealIp {
        ""      $remote_addr;
        ~^(?P<firstAddr>[0-9\.]+),?.*$  $firstAddr;
}

那么,$clientRealIP 就是用户真实 IP 了,其实就是匹配了 $http_x_forwarded_for 的第一个值,具体原理:

其实,当一个 CDN 或者透明代理服务器把用户的请求转到后面服务器的时候,这个 CDN 服务器会在 Http 的头中加入一个记录
X-Forwarded-For : 用户 IP, 代理服务器 IP
如果中间经历了不止一个代理服务器,这个记录会是这样
X-Forwarded-For : 用户 IP, 代理服务器 1-IP, 代理服务器 2-IP, 代理服务器 3-IP, ….
可以看到经过好多层代理之后, 用户的真实 IP 在第一个位置, 后面会跟一串中间代理服务器的 IP 地址,从这里取到用户真实的 IP 地址,针对这个 IP 地址做限制就可以了。

而且代码中还配合使用了$remote_addr,因此$clientRealIP 还能兼容上文中第①种直接访问模式,不像 $http_x_forwarded_for 在直接访问模式中将会是空值!

所以,$clientRealIP 还能配置到 Nginx 日志格式中,替代传统的 $remote_addr 使用,推荐!

2、通过对 $clientRealIP 这个变量的判断,实现限制访问

nginx server 块中

#如果真实IP为 121.42.0.18、121.42.0.19,那么返回403
if ($clientRealIp ~* "121.42.0.18|121.42.0.19") {
        #如果你的nginx安装了echo模块,还能如下输出语言,狠狠的发泄你的不满(但不兼容返回403,试试200吧)!
        #add_header Content-Type text/plain;
        #echo "son of a bitch,you mother fucker,go fuck yourself!";
        return 403;
        break;
}

把这个保存为 deny_ip.conf ,上传到 Nginx 的 conf 文件夹,然后在要生效的网站 server 模块中引入这个配置文件,并 Reload 重载 Nginx 即可生效:

#禁止某些用户访问
include deny_ip.conf;

参考地址:https://zhangge.net/5096.html

nginx代理后,获取真实IP,做并发访问限制的方法(限流)
Bertram的博客
11-14 444
nginx代理后,获取真实IP,做并发访问限制的方法(限流)
nginx传递真实客户端ip
月守护的博客
04-08 3230
问题 我们在用nginx做反向代理的时候,通常会遇到一个问题:服务端解析请求时拿到的都是nginx代理服务器的ip,而不是真实客户端ip 这对我们的业务处理或许存在一些问题,比如鉴权和限流等 反向代理HTTP 这里介绍nginx在反向代理http服务时如何获取客户端真实ip 配置中添加 proxy_set_header Remote_addr $remote_addr; 完整示例配置如下: worker_processes auto; error_log /var/log/nginx/error.
Nginx 禁止IP访问
weixin_30466039的博客
03-10 268
Nginx 禁止IP访问 我们在使用的时候会遇到很多的恶意IP攻击,这个时候就要用到Nginx 禁止IP访问了。下面我们就先看看Nginx的默认虚拟主机在用户通过IP访问,或者通过未设置的域名访问(比如有人把他自己的域名指向了你的ip)的时 候生效最关键的一点是, 在server的设置里面添加这一行: listen 80 default; #后面...
nginx获取并使用真实ip记录
遥远の梦
12-20 618
【代码】nginx获取并使用真实ip记录。
Nginx限制IP访问详解
最新发布
m0_74823239的博客
12-08 607
通过使用Nginx的allow和deny指令,可以轻松地控制哪些IP地址或子网段能够访问网站资源。这对于保护敏感信息、限制恶意访问等场景非常有用。希望本文能帮助你更好地理解和配置NginxIP访问控制功能。
Nginx多次代理后获取真实的用户IP访问地址
小左的博客
02-29 2369
需求:记录用户操作记录,类似如下表格的这样PS: 注意无论你的服务是Http访问还是Https 访问的都是可以的,我们服务之前是客户只给开放了一个端口,但是既要支持https又要支持http协议,nginx 是可以通过stream 模块配置双协议支持,但是stream块是四层协议,无法获取到真实的用户IP地址,后来把http协议关闭了,才能继续获取IP地址,如果有类似的情况可以检查是不是也有stream块配置。我们是从外网穿透到内网的,真实链路如下外网Nginxfill:#333;
为啥用Nginx反向代理后,在网页地址栏可以直接输入IP地址而不用输入:端口
m0_59834108的博客
08-25 1329
如有错误欢迎指正 Nginx默认的端口是80 我们在网页端发送HTTP请求的时候如果没有写端口则默认是80端口,刚好就是Nginx的端口,所以即使我们不写80端口,浏览器也会帮我们发送到80端口。Nginx也可以正常工作 ...
安装nginx后,只能通过内网访问网页
getcomputerstyle的博客
07-30 3025
出现这个问题,是因为防火墙拦截了外网访问,可输入以下命令打开响应端口: iptables -F iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT i
Nginx代理后得不到真实访问IP
qq_38882672的博客
06-04 1030
Nginx代理后得不到真实访问IP 如下配置,监听80端口,代理tomcat网站和api接口。 代理网站,需要真实ip到达,所以添加三行配置就行,注意顺序 代理接口,需要把代理的指定路径去掉,如下的 /api,使用rewrite重写一下请求路径 location /webapps/ { proxy_pass http://tomcat; proxy_set_header X-Real-IP $remote_addr; proxy_set_header REMOTE-HOST $rem
Nginx作为反向代理时传递客户端IP的设置方法
01-10
因为架构的需要采用多级 Nginx 反向代理,但是后端的程序获取到的客户端 IP 都是前端 NginxIP问题的根源在于后端Nginx 在 HTTP Header 中取客户端 IP 时没有取对正确的值。 同样适用于前端是 Squid 或者...
nginx 限制 ip 访问
Man_In_The_Night的博客
11-24 699
环境 centos7.6、 nginx 1.16.1 背景:nginx 服务器已经配置好了公网 ip 和 域名证书(公网 ip 对我来说是透明的,没有管理权限,所以只好在 nginx 服务器上做 ip 限制) 未修改之前,登录日志的 remote_addr 总是为 192.12.182.3,猜测这个为 公网 ip 对应的内网 ip。现在操作只允许公网 ip 120.231.12.24 和 192.12.182.3 访问。 安装 nginx 请看这里 [root@ansible002 ~]# cat /etc
iptables限制ip访问_(转)nginx代理后,获取真实IP,做并发访问限制的方法(限流)
weixin_39667797的博客
11-29 631
站点在运行时,为了防止DDoS 攻击、或内部接口调用造成的数据迸发,nginx提供了limit限流模块:HttpLimitZoneModule 限制同时并发访问的数量HttpLimitReqModule 限制访问数据,每秒内最多几个请求一、普通配置:什么叫普通配置?普通配置就是针对【用户浏览器】→【网站服务器】这种常规模式的 nginx 配置。那么,如果我要对单 IP访问限制,绝大多数教程都是...
nginx代理后获取真实IP配置nginx后,重启出现unknown directive " 解决
Yangyg_0818的博客
04-15 3702
看过很多说要转义编译错,替换本地为UTF-8不生效的情况 1、修改为获取真实Nginx配置后 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header X-Forwarded-F...
nginx 限流
xiaoyu的博客
03-09 1184
map $http_x_forwarded_for  $clientRealIp {         ## 没有通过代理,直接用 remote_addr     ""    $remote_addr;           ## 用正则匹配,从 x_forwarded_for 中取得用户的原始IP         ## 例如   X-Forwarded-For: 202.123.123.11
nginx利用反向代理实现获取用户真实ip
AmourHaiti的博客
09-27 7265
以下所有的实操都是在redhat7.3上 我们访问互联网上的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略。这样在服务端拿到的客户端IP将是反向代理IP,而不是真实客户端IP,因此需要想办法来获取到真实客户端IP web服务器获得真正的用户和真实ip客户端访问服务端的数据流走向 ...
nginx(三)实现反向代理客户端 IP透传
2301_81307988的博客
02-28 1588
正常情况下,客户端访问代理服务器,然后代理服务器再取访问真实服务器,在真实服务器上,只能显示代理服务器的ip地址,而不显示客户端ip地址,如果想让客户端ip地址也能在真实服务端看见,这一技术叫做IP透传。如果想看见真实访问ip地址,就是客户端代理服务端的ip时 看以下操作。在代理服务端(7-1)
nginx限制ip访问
wangwenzhe的博客
01-25 671
nginx限制ip访问
Nginx源站IP限制访问配置后web页面请求失败
Terisadeng的博客
09-25 1908
由于项目使用Nginx做负载均衡,挂载两台服务器接收外部请求。 现需要限制外部请求IP访问,指定固定IP地址段可以访问服务器,因此需要对Nginx做allow和deny的配置。 做好之后发现可以登录系统,但是系统中的页面和菜单都打不开, 查询资料发现是由于在透明代理下,如果不做任何配置Tomcat认为所有的请求都是Nginx发出来的,这样会导致如下的错误结果: 1)总是http,而不是实际
nginx配置允许指定IP访问 (利用$http_x_forwarded_for)
u012549182的博客
11-14 1241
获取用户真实IP,并赋值给变量$clientRealIP。编辑 limit_ip.conf。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值