Nginx设置白名单、ip限制

1.设置白名单：

http模块：

http {
    ........
    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    geo $remote_addr $geo {
           default 1; #1表示禁止访问
           127.0.0.1 0; #0表示可以访问
        }


    include /usr/local/nginx/conf.d/*.conf;
}

server模块：

server {
      listen 80;
      server_name jenkins.aa.bb;
      location / {
        # 如果不是白名单则 显示403 禁止访问
        if ( $geo  = 1 ) {
             return 403;
         }
         proxy_set_header        Host $host:$server_port;
         proxy_set_header        X-Real-IP $remote_addr;
         proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header        X-Forwarded-Proto $scheme;
         proxy_pass          http://127.0.0.1:59932;
         proxy_read_timeout  90;
         proxy_http_version 1.1;
         proxy_request_buffering off;
      }
    }

2.设置目录限制白名单：

对指定请求路径不设置限制，如对请求路径为api目录下的请求不做限制，则可写为

server{
        location /app {
            proxy_pass http://192.168.1.111:8095/app;
            limit_conn conn 20;
            limit_rate 500k;
            limit_req zone=foo burst=5 nodelay; 
        }
        location /app/api {
            proxy_pass http://192.168.1.111:8095/app/api
        }
}

3.设置ip限制白名单

在《nginx限制连接数ngx_http_limit_conn_module模块》和《nginx限制请求数ngx_http_limit_req_module模块》中会对所有的IP进行限制。在某些情况下，我们不希望对某些IP进行限制，如自己的反代服务器IP，公司IP等等。这就需要白名单，将特定的IP加入到白名单中。下面来看看nginx白名单实现方法，需要结合geo和map指令来实现。

nginx默认加载了ngx-http-geo-module和ngx-http-map-module相关内容；
ngx-http-geo-module    可以用来创建变量，变量值依赖于客户端 ip 地址;
ngx-http-map-module   可以基于其他变量及变量值进行变量创建，其允许分类，或者映射多个变量到不同值并存储在一个变量中；

Nginx geo 格式说明
 
Syntax ( 语法格式 ): geo [$address] $variable { ... }
Default ( 默认 ): -
Content ( 配置段位 ): http
Nginx map 格式说明
Syntax ( 语法格式 ): map String $variable { ... }
Default ( 默认 )：-
Content ( 配置段位 ): http

白名单配置示例

http{
     #定义白名单ip列表变量
     geo $whiteiplist {
         default 1 ;
         127.0.0.1/32 0;
         10.0.0.0/8 0;
         64.223.160.0/19 0;
     }
     
     map $whiteiplist $limit{
         1 $binary_remote_addr ;
         0 "";
     }
     
     #配置请求限制内容
     limit_conn_zone $limit zone=conn:10m;
     limit_req_zone $limit zone=allips:10m rate=20r/s;
     
     server{
         listen       8080;
         server_name  test.qiangsh.com;
                  
         location /app {
           proxy_pass http://192.168.1.111:8888/app;
           limit_conn conn 50;
           limit_rate 500k;
           limit_req zone=allips burst=5 nodelay;
         }
     }
}

测试方法：
# ab -c 100 -n 300 http://test.qiangsh.com:8080/app/docs/nginx_guide.pdf

1. geo指令定义一个白名单$whiteiplist, 默认值为1, 所有都受限制。 如果客户端IP与白名单列出的IP相匹配，则$whiteiplist值为0也就是不受限制。
2. map指令是将$whiteiplist值为1的，也就是受限制的IP，映射为客户端IP。将$whiteiplist值为0的，也就是白名单IP，映射为空的字符串。
3. limit_conn_zone和limit_req_zone指令对于键为空值的将会被忽略，从而实现对于列出来的IP不做限制。

#(特殊情况处理)

#如果想仅限制指定的请求，如：只限制Post请求，则：

http{
     # 其他请求..
     #请求地址map映射
     map $request_method $limit {
         default "";
         POST $binary_remote_addr;
     }
     #限制定义
     limit_req_zone $limit zone=reqlimit:20m rate=10r/s;
     server{
         ... #与普通限制一致
     }
}

#在此基础上，想进行指定方法的白名单限制处理，则：

http{
     #...
     #定义白名单列表
     map $whiteiplist $limitips{
         1 $binary_remote_addr;
         0 "";
     }
 
     #基于白名单列表，定义指定方法请求限制
     map $request_method $limit {
         default "";
         # POST $binary_remote_addr;
         POST $limitips;
     }
 
     #对请求进行引用
     limit_req_zone $limit zone=reqlimit:20m rate=10r/s;
 
     #在server中进行引用
     server{
         #... 与普通限制相同
     }
}

nginx: [warn] low address bits of 45.11.55.132/28 are meaningless in /opt/openresty/nginx/conf/public/white.conf:69
nginx: [warn] low address bits of 12.70.12.195/28 are meaningless in /opt/openresty/nginx/conf/public/white.conf:70

解决方法：

错误原因是因为子网划分错误，比如 45.11.55.132/28，每个子网有16个ip，所以起始ip一定要是16的倍数，

这个子网应该写成这样45.11.55.128/28，修改完毕后再reload nginx就不会报错了。