实现 动态 IP 白名单 的完整方案

最新推荐文章于 2025-04-29 20:41:34 发布
最新推荐文章于 2025-04-29 20:41:34 发布
阅读量864 收藏 22
点赞数 8
分类专栏: 运维 服务器 Linux 文章标签: tcp/ip flask 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45657541/article/details/146314390
版权

以下是实现 动态 IP 白名单 的完整方案,涵盖主流云平台(Azure、GCP、AWS)的自动化配置方法,支持动态更新 IP 地址列表,适用于远程访问、VPN 或弹性服务的场景!

实现 动态 IP 白名单 的完整方案

一、核心思路

动态 IP 白名单通过 自动化脚本 或 云服务 实现,核心步骤:

  1. 获取当前 IP:通过 DDNS、内网 DHCP 或 API 获取动态 IP。
  2. 更新安全组规则:调用云平台 CLI 或 API 动态添加/删除 IP 规则。
  3. 定时任务:使用 Cron、CloudWatch 或 Task Scheduler 定期执行更新。

二、实现方案

方案 1:基于脚本 + 定时任务

步骤 1:获取动态 IP

• 方法 A:通过外部服务(如 DDNS)

# 示例:使用 dig 查询 DNS 记录(如 No-IP)
CURRENT_IP=$(dig +short example.ddns.net @resolver.example.com)

• 方法 B:获取公网 IP

# Azure VM
CURRENT_IP=$(az vm show --resource-group my-rg --name my-vm | jq -r '.networkInterfaces[0].properties.privateIpAddress')

# GCP VM
CURRENT_IP=$(gcloud compute instances describe my-vm --zone us-central1-a --format json | jq -r '.networkInterfaces[0].accessConfigs[0].externalIp')

步骤 2:更新 Azure NSG 规则

# 删除旧规则(假设规则名包含 IP)
OLD_RULE_NAME="allow-ssh-${CURRENT_IP//./-}"
az network nsg rule delete --resource-group my-rg --nsg-name my-nsg --name $OLD_RULE_NAME

# 添加新规则
az network nsg rule create \
  --resource-group my-rg \
  --nsg-name my-nsg \
  --name allow-ssh-dynamic \
  --protocol tcp \
  --direction inbound \
  --priority 100 \
  --source-address-prefix $CURRENT_IP/32 \
  --destination-port-range 22/22 \
  --access allow

步骤 3:设置定时任务(Linux)

# 每 10 分钟执行一次更新
* * * * * sleep 10; /path/to/update_ip.sh >> /var/log/dynamic_ip.log 2>&1

方案 2:云函数触发器(无服务器架构)

以 Azure Function 为例

  1. 编写函数代码(Python):

    import azure.mgmt.network
from azure.identity import DefaultAzureCredential

def main(req):
    current_ip = req.params.get('ip')  # 通过 API 请求传递当前 IP
    credential = DefaultAzureCredential()
    client = azure.mgmt.network.NetworkManagementClient(credential, "my-subscription-id")
    
    # 删除旧规则
    client.network_security_groups.delete_rule(
        resource_group_name="my-rg",
        network_security_group_name="my-nsg",
        rule_name=f"allow-ssh-{current_ip}"
    )
    
    # 添加新规则
    rule_params = {
        'protocol': 'tcp',
        'direction': 'inbound',
        'priority': 100,
        'source_address_prefix': f"{current_ip}/32",
        'destination_port_range': '22/22',
        'access': 'allow'
    }
    client.network_security_groups.create_or_update_rule(
        resource_group_name="my-rg",
        network_security_group_name="my-nsg",
        rule_name=f"allow-ssh-{current_ip}",
        rule_params
    )

  2. 触发方式:
    • 通过 HTTP 触发器 调用函数(如每 5 分钟通过外部服务 POST 当前 IP)。
    • 集成 Azure Event Grid 监听 IP 变化事件。

方案 3:使用云服务托管 DDNS

AWS EC2 Instance Connect

• 自动更新:EC2 实例 connect 服务会自动管理 SSH 白名单,无需手动配置。
• 配置步骤:

  1. 在 EC2 控制台启用 Instance Connect。
  2. 用户通过 AWS Systems Manager (SSM) 临时访问,IP 白名单自动更新。

三、高级场景:动态 IP 池

如果需要同时支持多个动态 IP(如团队成员的居家 IP),可使用 IP 池 动态扩容:

# Azure NSG 批量添加 IP 池
IPS=("192.168.1.100" "192.168.1.101" "192.168.1.102")
for ip in "${IPS[@]}"; do
  az network nsg rule create \
    --resource-group my-rg \
    --nsg-name my-nsg \
    --name allow-ssh-pool-${ip} \
    --protocol tcp \
    --direction inbound \
    --priority 100 \
    --source-address-prefix $ip/32 \
    --destination-port-range 22/22 \
    --access allow
done

四、监控与日志

  1. 启用日志记录:
    • Azure NSG:

    az network nsg set-log-validation --resource-group my-rg --nsg-name my-nsg --enable true

    • GCP Firewall:

    gcloud compute firewall-rules set-logging \
  --project my-project --network my-vpc --name allow-ssh \
  --enable true --log-config destination=cloud-storage,bucket=my-log-bucket

  2. 分析日志:

    # Azure 日志查询(PowerShell)
Get-AzNetworkSecurityGroupLogEntry -ResourceGroupName my-rg -Name my-nsg -StartTime "2023-10-01"

五、常见问题排查

  1. 规则冲突:
    • 确保动态规则的 priority 优先级高于其他规则。
  2. IP 变化未触发更新:
    • 检查定时任务或触发器的执行频率。
  3. 权限问题:
    • 确认 CLI 或 API 凭证具有 Microsoft.Network/securityGroups/write 权限。

六、工具推荐

• IP Lookup:curl ifconfig.me(快速获取公网 IP)
• Azure CLI:az network nsg(管理 NSG 规则)
• GCP CLI:gcloud compute firewall-rules(管理 GCP 防火墙)
• 自动化平台:Ansible、Terraform(声明式配置安全组)

通过上述方案,你可以实现安全、高效的动态 IP 白名单管理,适用于远程办公、自动化部署等灵活场景!🌐

开放平台: 签名密钥、回调地址、ip白名单管理。
专注于计算机研发知识和资讯分享
08-14 276
进行开放服务的API签名校验时,根据请求头的APPID查询签名密钥secret_key,进行接口的签名校验。交易接口设计加密相关字段: 回调地址、白名单IP、渠道商私钥、渠道商公钥、是否加密(1:加密,0:不加密)进行开放服务的API签名校验时,根据请求头的APPID查询签名密钥secret_key,进行接口的签名校验。实现:基于代理商渠道表进行管理,请求方式统一使用POST,代理商渠道信息存储到Redis中。需求: 提供给下游的开放平台,需要对接口做签名密钥、回调地址、ip白名单管理。
技术派Redis实现作者白名单
qq_64948664的博客
03-03 1237
通过技术派发文章的时候,发文章会先通过审核,只有通过审核在会在网站上进行展示。是不是所有的作者都要经过审核呢?当然不是,在这里做了一个白名单,在白名单中的用户发文之后是不需要进入审核的,可以直接上线。问题的产生的疑问?
spring security实现IP动态添加白名单
L_zsen的博客
07-06 6489
最近有个小需求:实现一个IP白名单的功能;指定ip可以无需登录认证即可访问指定的接口,非指定ip需要登录认证才能访问; 安全框架用spring security+jwt,安全配置类securityConfig继承WebSecurityConfigurerAdapter中可以配置hasIpaddress白名单; 但这个只能在初始化项目时通过字符串拼接access参数,没有达到ip动态添加删除的效果; 随后在百度了N篇文章后,参考动态url权限配置,自定义了一个决策器实现了功能,代码如下: import co
Java实现ip白名单的限制
小小陈的博客
11-03 2918
有些项目的接口是需要权限访问,比如限制IP、做权限控制,等等方案,本文是限制ip权限设置访问策略。 先看测试效果: 测试: 注意访问需要输入:http://127.0.0.1:8981/ 在配置文件加上本地的ip 10.9.160.135 去掉本地ip 10.9.160.135 提示非法字符 看一下项目结构,新建一个创建IPLimitInterceptor类,在springmvc配置文件配置、新建一个ip校验工具类 IPWhiteListUtil、ip配置文件: ipwhite.properties。
如何给Nginx配置访问IP白名单
lxw1844912514的博客
09-26 1万+
如果想增加允许访问的IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问此nginx的IP
安全性设计之-ip白名单设计
都市桃源
03-14 1万+
安全性设计之-ip白名单设计 最近一直在做系统的接口开发,接口对于安全性有一定的要求,采用了一定的安全措施,各种加解密,证书手段也采用了。做了这些常见的安全措施之后,考虑到限制非法ip的访问,决定采用ip白名单设计,只允许部分许可ip访问系统,未许可ip一律禁止访问,减少非法请求。 好了,言归正传,说下需求。 ip白名单设计需求 支持ipv4 支持多种校验规则 支持单个,多个,ip范...
java实现 url白名单,rabbit Mq 实现定向消费,设置Ip白名单
weixin_29914581的博客
03-12 804
rabbit Mq 实现定向消费,设置Ip白名单:初衷:为了在生产环境调试生产的问题。但是本地启动生产环境,就会产生一些不必要的问题。本地启动生产环境。就会有可能消费生产环境的消息。为了解决这一问题。我提出三种实现方案:方案一:Mq和spring集成的时候,做Ip白名单限制。在启动项目的时候就会检测本地的Ip是否属于配置的白名单Ip段(缺点:就是只能围绕)方案二:在mqsend的时候带上特定的...
聊聊Spring boot项目中IP白名单限制
andyLyysh的博客
04-27 1561
IP白名单限制解决方案,Spring boot接口实现白名单限制,使用Nignx实现IP白名单限制
使用Nginx OpenResty与Redis实现高效IP白名单管理
南宫乘风-Linux运维-虚拟化容器-Python编程 ownit.top
07-15 2343
OpenResty是一个基于Nginx的全功能Web平台,它集成了一系列精心设计的Lua库、第三方模块和一个基于LuaJIT的轻量级Web框架。OpenResty的核心是Nginx,但它通过Lua语言扩展了Nginx的功能,使其能够构建能够处理超高并发的动态Web应用。白名单是一种安全策略,用于定义一组被信任的IP地址或实体,它们被允许访问特定的资源或服务。安全性增强:限制访问权限,仅允许特定的IP地址访问敏感资源。防止滥用:减少恶意用户或爬虫对服务的滥用。流量管理。
解决微信公众平台IP白名单
热门推荐
小Q的博客
12-02 3万+
微信公众平台,作为自媒体的旗舰级产品,越来越多的人已经投入它的怀抱。正如它的广告词所说:再小的个体,也有品牌 好吧,闲话不多说,今天要说的是它的IP白名单机制。
haproxy 客户端真实IP地址添加白名单
u011238620的博客
10-23 1515
haproxy 客户端真实IP地址添加白名单 haproxy 添加白名单的方法网上有了就不重复了; 我们的架构如下,haproxy 不是直接对外的,所以在haproxy添加ip地址白名单会限制所有交易(haproxy的地址是域名服务器的,不是用户的,所以网上的加白名单方式都不行) 连接连接域名服务器haproxy应用服务器应用服务器 限制真实用户端客户端IP地址方式如下: acl http_fo...
php实现ip白名单黑名单功能
10-24
本文主要介绍了如何使用PHP实现IP白名单和黑名单功能,提供了两个实用的函数:一个是安全IP检测函数is_safe_ip,另一个是获取客户端IP地址的函数get_client_ip。这两个函数能够帮助开发者在开发API来源限制、访问...
rabbit Mq 实现定向消费,设置Ip白名单
Block_chain的博客
12-30 4568
rabbit Mq 实现定向消费,设置Ip白名单: 初衷:为了在生产环境调试生产的问题。但是本地启动生产环境,就会产生一些不必要的问题。本地启动生产环境。就会有可能消费生产环境的消息。为了解决这一问题。我提出三种实现方案: 方案一:Mq和spring集成的时候,做Ip白名单限制。在启动项目的时候就会检测本地的Ip是否属于配置的白名单Ip段(缺点:就是只能围绕) 方案二:在mqsend的时候带上特定的Ip.然后在消费端进行判断,如果消费端不属于Ip白名单,那么直接再次放进mq,或者说抛异常。(...
机器人“跨协议对话”秘籍:EtherNet IP转PROFINET网关应用实录
bjbxkj的博客
04-29 255
由于两种协议在通信标准和数据格式上存在差异,导致机器人手臂无法与现场的终端控制器直接通信,设备之间的数据交换无法顺利进行,严重影响了生产线的整体效率。通过该网关的及时引入,我们避免了大规模设备改造带来的高昂成本和生产延误风险,显著提高了设备协作效率和生产线整体性能,获得了生产部门的一致认可。针对这一问题,我们工程师团队经过详细分析和现场测试,决定采用EtherNet/IP转PROFINET通信协议网关(倍讯BX-606-EIP)来实现快速、稳定的协议转换。接受控制器主动发送的指令及数据请求。
怎么查自己手机连接的ip归属地:完整指南
hgdlip的博客
04-29 310
在当今数字化时代,IP地址已成为网络世界中每个设备的"身份证",而IP归属地则揭示了设备所在的地理位置信息。无论是出于网络安全考虑、内容访问需求,还是单纯的好奇心,了解如何查询手机连接的IP归属地都显得尤为重要。本文将系统介绍IP归属地的概念、查询方法以及常见问题解答,帮助您全面掌握这一实用技能。
IP SSL证书常见问题助您快速实现HTTPS加密
WoTrusSSL的博客
04-25 581
IP SSL证书(IP HTTPS证书)是一种专为IP地址设计的SSL/TLS证书,能够为通过IP直接访问的服务(如内网系统、物联网设备)建立加密通信通道。与传统的域名SSL证书不同,它无需依赖域名解析,直接对IP地址进行加密,确保数据传输的机密性、完整性和身份可信性。技术优势:无需域名适用于仅有IP地址的服务场景。兼容性强支持IPv4和IPv6地址。快速部署部分证书类型可实现分钟级签发。
代理ip和实际ip的区别和联系
hgdlip的博客
04-25 790
在互联网时代,IP地址是每个设备连接网络的“身份证”,但你是否知道IP地址还分为‌代理IP‌和‌实际IP‌?它们各自扮演什么角色?为什么有人选择使用代理IP?实际IP又有哪些不可替代的作用?本文将深入解析代理IP和实际IP的区别与联系,帮助你理解它们的应用场景、优缺点,以及如何根据需求合理选择。
Redis分布式锁使用以及对接支付宝,paypal,strip跨境支付
最新发布
m0_71017987的博客
04-29 560
然后到rabbitmq控制界面查看是否有也有这个插件。结果点击确定就能实现结果如下。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

独隅

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值