使用Nginx限制特定IP访问自己的网站

已于 2024-03-14 11:12:32 修改
阅读量739 收藏 11
点赞数 9
分类专栏: linux 文章标签: nginx 服务器 linux 运维
于 2024-02-21 11:08:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fj_changing/article/details/136203433
版权

需求

一个网站只想被国内访问,或者只想被一个省或一个市访问,或者只允许特定的IP或IP段访问,或者禁止特定的IP或IP段访问。我知道的有三个方法:

  • 购买云服务器厂商的相关服务,它们能做到,结果相对准确;
  • 购买查询IP的网站的服务,写个中间件,自己的网站收到请求时根据IP去查归属地,然后根据业务需要直接允许或阻止本次请求,结果相对准确,但每次收到请求都去查询的话费用较高;
  • 购买离线的IP库,在Nginx中做配置,结果相对不准确,一次性付费,后续更新另外付费。

云服务器厂商的服务和查询IP的网站的服务,相对来说更准确,IP数量更完整,更新更及时;离线的IP库,由于数据源未知,相对来说不准确,IP数量不完整,更新不一定及时。

使用Nginx实现

 我用了宝塔,网站里添加了多个站点,每个站点都单独配置。

以内网IP为例,公网IP同理。以下配置都写在Nginx配置的server块中(也可以写在location中),IP支持一个一个写,也支持CIDR形式,公网IP的CIDR形式可以在ip138上查,准确性不知道。已知具体的IP段,有网站在线转换成CIDR形式,但我发现不同的网站转出的结果不同,最好还是手动计算验证下。

只允许192.168.1.X的IP访问,其他IP禁止访问。deny all;不能写在allow前面,会导致阻止所有的访问。

allow 192.168.1.1/24;
deny all;

禁止192.168.1.1、192.168.1.2、192.168.1.3访问,允许其他IP访问。

deny 192.168.1.1;
deny 192.168.1.2;
deny 192.168.1.3;
allow all;

被阻止访问时,页面显示403 Forbidden。

如果有大量的IP需要写,可以将上面的语句写在文件里,然后在server块中导入这个文件。这样在同一个服务器中有多个站点都需要这个同样的配置时,容易维护,后面更新IP只需要更新这个文件的内容,不用把每个站点的Nginx配置都改一遍。更新文件中的IP后,需重载Nginx配置才生效。

include /home/ip_limit/ip_limit.conf;

自定义403页面

403页面可以自定义,同样是在Nginx配置的server块中(也可以写在location中)。将页面写在/home/ip_limit/403_my.html,这个html中如果有图片,最好写死成base64,原因后面再说。最好不要用403.html这个文件名,可能和网站根目录中宝塔自动生成的默认403页面冲突,导致自定义403页面不生效。

我的网站只允许指定城市访问,所以Nginx中我配置了allow xxx和deny all;,这样会导致在其他城市访问时还是403 Forbidden,自定义的403页面不生效,所以需要单独设置这个自定义403页面为允许所有的访问。

error_page 403 /403_my.html;
location /403_my.html {
  allow all;  #不加会由于前面的allow和deny all导致阻止加载这个自定义的403页面,从而自定义403页面不生效
  root /home/ip_limit;
  internal;  # 防止直接访问这个页面,不加也行
}

403页面中的图片问题

做完上面的配置后,如果自定义403页面中的图片不是写死成base64,会发现被阻止访问时,页面中的图片没加载出来(img标签中src="./403.png"),然后查了资料在Nginx配置的server块中加了下面的内容,这样自定义403页面中的图片确实可以加载了(前提是这个图片在这里的root处设置的路径中,同理src的值也要做相应的调整),但正常访问网站时有的图片无法加载了。可能因这个设置导致网站的所有图片都从这里设置的路径中加载,但实际无法加载的图片没存放在这里。所以这个配置不具有通用性,还有个方法我没试,就是不加这个配置,把自定义403页面中的图片的src换成一个可加载的网络url。

location ~ .*\.(png|jpg|jpeg|gif|svg|ico){
  allow all;
  root /www/wwwroot/test/web;
}

最简单省事的方法是,不加这个配置,自定义403页面中的图片写死成base64。

允许所有人访问网站中的静态文件

我的网站只允许指定城市访问,但网站中提供一些静态文件可供所有人访问或下载,同样是在Nginx配置的server块中。

location /apk/user.apk { # app下载,不加会由于ip策略无法访问
  allow all;
}

单独放行网站中的一个接口

我的网站只允许指定城市访问,但要单独放行网站中的一个接口,例如文件上传接口,同样是在Nginx配置的server块中。假设公网接口是http://公网IP/oss/upload,对应的内网服务是http://192.168.1.1:9966/oss/upload。

location /oss/upload { # 文件上传接口,不设访问限制
  proxy_pass http://192.168.1.1:9966/oss/upload/; # 注意location末尾没斜线,这里末尾有斜线
  allow all;
}

参考链接

Nginx全面配置 - 知乎 (zhihu.com)

nginx 自定义 404、50x 错误页面_nginx 504超时时指定一个html界面-CSDN博客

Nginx配置自定义的403页面 - Mr.peter - 博客园 (cnblogs.com)

fj_changing
关注
  • 9
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx与apache限制ip并发访问 限制ip连接的设置方法
09-30
nginx限制ip并发数,也是说限制同一个ip同时连接服务器的数量,要使apache服务器做对同一IP地址的连接限制,需要mod_limitipconn来实现。一般需要手动编译。不过模块作者也提供了一些编译好的模块,根据自己的apache版本可以直接使用
Nginx限制IP访问某些页面的操作
09-29
主要介绍了Nginx限制IP访问某些页面的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
nginx配置限制同一个ip访问频率方法
01-10
1、在nginx.conf里的http{}里加上如下代码: limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; 2、在需要限制并发数和下载带宽的网站配置server{}里加上如下代码: limit_conn perip 2; limit_conn perserver 20; limit_rate 100k; 补充说明下参数: $binary_remote_addr是限制同一客户端ip地址; $server_name是限制同一server最
如何限定IP访问服务器端口(只允许指定IP访问数据库服务器的1433端口)
zgscwxd的博客
07-05 2921
8、在web宿主机中打开cmd,输入"telnet 你的ip地址 1433",回车可看到一个什么都没有的界面,但是下面打码的地方是你telnet的IP地址,这表明已经上面的配置成功(web服务器可以访问到数据库)6、双击刚才创建的"限定可访问1433的IP"入站规则,找到"作用域”,选择远程IP地址中的"下列IP地址”,点击"添加",输入可访问IP地址即可,填写完后点击确定。4、输入要限定访问的端口,这里是要限定访问数据库1433端口的IP,点击"下一步"3、选择"端口",点击"下一步"
windows服务器限制特定ip访问指定端口(服务器ip白名单)
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
11-08 6841
有些时候我们需要限制特定ip白名单来访问服务器指定端口,来防止dos攻击或其他危险访问,我们可以通过防火墙来实现这一需求,
Nginx限制IP访问只允许特定域名访问
热门推荐
Asurplus
04-23 21万+
为了我们的服务器安全,我们需要禁止直接使用 IP 访问我们的服务器,我们可以借助 Nginx 完成 1、找到 nginx 的配置文件 cd /usr/local/nginx/conf/ 找到 nginx.conf 文件 编辑它 2、添加新的 server # 禁止ip访问 server { listen 80 default_server; listen 443 ssl default_server; server_name _; return 403; } 注
Nginx配置限制IP访问 懒的程序入手就Nginx
baidu_37366055的博客
06-17 5703
nginx配置ip限制
Nginx中禁止使用IP访问网站的配置实例
09-30
主要介绍了Nginx中禁止使用IP访问网站的配置实例,一般在备案时可能需要这种设置,需要的朋友可以参考下
linux 磁盘管理
weixin_42795092的博客
04-29 1319
在mm下新建文件,在文件中输入内容,此内容就被写入第一个分区内,同时mm下会生出lost+found目录,当档案系统发生错误时, 将一些遗失的片段放置到这个目录下。把sdb3挂载到mm,创建文件同时写入内容,查看发现只显示f3,之前挂载的sdb1中的f1不见,代表多个分区可以挂载一个挂载点,但只显示最新挂载的分区。特点:针对不同的数据建立不同的分区,同时为不同的分区创建不同的权限。输入swapon /dev/sdb2,并查看虚拟内存组成分区,两块虚拟内存组成,虚拟内存挂载成功。
WinForms 应用程序中使用 SignalR 连接到服务器
一个专注于技术研究创新的程序员
04-29 492
假设您已经在服务器端实现了名为 SignalRHub 的 SignalR Hub,并且该 Hub 包含了一个名为 SendMessage 的方法,用于接收来自客户端的消息,并将其广播给所有连接的客户端。客户端在收到消息时调用名为 ReceiveMessage 的方法来处理。
服务器硬件:裸金属安装 VMware ESXi
山河已无恙
04-27 500
工作中遇到,简单整理博文内容涉及 裸金属安装VMware ESXi 基本步骤理解不足小伙伴帮忙指正不必太纠结于当下,也不必太忧虑未来,当你经历过一些事情的时候,眼前的风景已经和从前不一样了。——村上春树。
快速了解Linux IPC
最新发布
wJen的博客
04-30 1579
简单介绍了Linux IPC以便快速了解基本内容。
【方案解决思路】RPC服务器不可用
weixin_52364868的博客
04-27 644
如果RPC服务未运行或其启动类型未设置为自动,则需要检查远程客户端的注册表中的相关设置。当在SCCM服务器使用wmic /node:<客户端IP> process list命令时,如果遇到“RPC服务器不可用”的错误,这通常意味着SCCM服务器无法通过RPC协议与远程客户端通信。: 在远程客户端上,检查本地安全策略设置,确保“网络访问:本地帐户的共享和安全模式”设置为“经典 - 本地用户以自己的身份验证”。:确保远程客户端上的WMI服务正在运行,并且具有正确的权限设置。
由于内部错误,服务器无法处理该请求。有关该错误的详细信息,请打开服务器上的 IncludeExceptionDetailInFaults
SJ15630070060的博客
04-30 445
由于内部错误,服务器无法处理该请求。有关该错误的详细信息,请打开服务器上的 IncludeExceptionDetailInFaults (从 ServiceBehaviorAttribute 或从 配置行为)以便将异常信息发送回客户端,或打开对每个 Microsoft .NET Framework SDK 文档的跟踪并检查服务器跟踪日志。
网络程序 -- TCP版服务器
sushhsishdgsusk的博客
04-27 1528
对于之前编写的来说,如果只有一个客户端进行连接并通信,是没有问题的,但如果有多个客户端发起连接请求,并尝试进行通信,服务器是无法应对的原因在于为什么客户端B会显示当前已经连接成功?这显然是服务器的问题,与应该交给两个不同的执行流完成,可以使用多进程或者多线程解决,这里先采用多进程的方案fork创建子进程使用fork()函数,它的返回值含义如下ret == 0ret > 0ret < 0子进程创建成功后,会继承父进程的文件描述符表,能轻而易举的获取客户端的socket套接字,从而进行网络通信。
运维笔记:基于阿里云跨地域服务器通信(上)
jclee95的个人博客
04-27 1148
本文基于阿里云介绍跨地域服务器通信方案选择和对比。
江苏宿迁服务器的优势有哪些?
wanhengwangluo的博客
04-27 809
江苏宿迁服务器采用了优秀的散热技术,并且配置了多种安全机制和数据备份方案,能够保证服务器的稳定性和可靠性,避免因为硬件故障或者是外部攻击导致数据丢失或服务过程中中断的情况发生。以上就是小编今天分享的内容了,如果还想了解更多内容,或者对服务器感兴趣的话,可以持续关注万恒网络科技,对于不了解和需要进行咨询的地方,也可以私信或评论小编!江苏宿迁服务器是一款性能强大、稳定可靠的服务器,能够应用在各种应用场景当中,比如云计算、大数据分析等,接下来就让我们来了解一下江苏服务器的优势都有哪些吧!
Nginx配置限制ip访问
06-03
要在Nginx限制IP访问,可以使用以下步骤: 1. 打开Nginx配置文件,通常是/etc/nginx/nginx.conf。 2. 在http块中添加以下代码来定义允许和拒绝的IP地址: ``` http { # 定义允许的IP地址 allow 192.168.1.1; allow 10.0.0.0/8; # 定义拒绝的IP地址 deny 192.168.1.2; deny 172.16.0.0/12; } ``` 3. 在server块中添加以下代码来应用IP访问限制: ``` server { listen 80; server_name example.com; # 应用IP访问限制 location / { # 允许上面定义的IP地址访问 allow all; # 拒绝其他IP地址访问 deny all; } } ``` 4. 重新加载Nginx配置以使更改生效: ``` $ sudo nginx -s reload ``` 这样就可以限制只有特定IP地址能够访问Nginx服务器了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值