基于 Nginx 的区域访问控制配置:仅允许中国大陆 IP 访问网站

已于 2024-09-27 13:56:25 修改
阅读量510 收藏 8
点赞数 3
分类专栏: NGINX 运维 服务器安全 文章标签: 网络 安全 服务器 运维 nginx
于 2024-09-27 10:21:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s1608818981/article/details/142567313
版权
运维 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
NGINX
2 篇文章 0 订阅
订阅专栏
服务器安全
1 篇文章 0 订阅
订阅专栏

在当前网络安全形势日益严峻的背景下,企业和组织对信息安全的重视程度不断提高。尤其是针对特定区域的访问控制,成为保护敏感信息和减少潜在攻击的重要措施。通过配置 Nginx 服务器,仅允许中国大陆 IP 访问网站,可以有效防止来自其他地区的恶意访问,从而增强系统的安全性(好吧,其实是老板要求的,在此记录一下)

准备工作

1.安装依赖
#安装geoip2扩展依赖
yum install libmaxminddb-devel -y
#安装其他依赖
yum install -y gcc gcc-c++ automake pcre pcre-devel zlib zlib-devel openssl openssl-devel libxml2 libxml2-devel libxslt-devel gd-devel perl-devel perl-ExtUtils-Embed GeoIP GeoIP-devel GeoIP-data gperftools redhat-rpm-config gperftools-devel perl perl-ExtUtils-Embed gd gd-devel git
2.下载ngx_http_geoip2_module模块
git clone https://github.com/leev/ngx_http_geoip2_module.git

#我这里下到/usr/local
3.下载同版本Nginx
nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.1.1k  FIPS 25 Mar 2021
TLS SNI support enabled
configure arguments: --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/lib/nginx/tmp/client_body --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --pid-path=/run/nginx.pid --lock-path=/run/lock/subsys/nginx --user=nginx --group=nginx --with-compat --with-debug --with-file-aio --with-google_perftools_module --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_degradation_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_mp4_module --with-http_perl_module=dynamic --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-http_xslt_module=dynamic --with-mail=dynamic --with-mail_ssl_module --with-pcre --with-pcre-jit --with-stream=dynamic --with-stream_ssl_module --with-stream_ssl_preread_module --with-threads --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -specs=/usr/lib/rpm/redhat/redhat-hardened-cc1 -m64 -mtune=generic' --with-ld-opt='-Wl,-z,relro -specs=/usr/lib/rpm/redhat/redhat-hardened-ld -Wl,-E'


#我的版本为1.20.1  提示geoip2模块需要nginx1.18以上版本
wget http://nginx.org/download/nginx-1.20.1.tar.gz

#源码包还是放在/usr/local
tar -xzvf nginx-1.20.1.tar.gz -C /usr/local
4.准备Geo数据库IP文件

登录www.maxmind.com 网址,创建账户 下载最新的库文件

不想创建用户的可以用我的链接

通过百度网盘分享的文件:GeoLite2-City_20240924.tar.gz
链接:https://pan.baidu.com/s/1c4RAlNvNin-3UZOeixPEEg?pwd=kld2 
提取码:kld2

上传到 /usr/share/GeoIP/ 下并解压

安装ngx_http_geoip2模块

编译前可先备份原始nginx二进制文件,yum安装的默认在/usr/sbin/nginx

#刚刚下载的源码目录
cd /usr/local/nginx-1.20.1

#编译新模块,因为我是yum安装的nginx,默认基础模块比较多,大家可按照自己实际有的模块进行配置
./configure --prefix=/usr/share/nginx \
    --sbin-path=/usr/sbin/nginx \
    --modules-path=/usr/lib64/nginx/modules \
    --conf-path=/etc/nginx/nginx.conf \
    --error-log-path=/var/log/nginx/error.log \
    --http-log-path=/var/log/nginx/access.log \
    --http-client-body-temp-path=/var/lib/nginx/tmp/client_body \
    --http-proxy-temp-path=/var/lib/nginx/tmp/proxy \
    --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi \
    --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi \
    --http-scgi-temp-path=/var/lib/nginx/tmp/scgi \
    --pid-path=/run/nginx.pid \
    --lock-path=/run/lock/subsys/nginx \
    --user=nginx \
    --group=nginx \
    --with-compat \
    --with-debug \
    --with-file-aio \
    --with-google_perftools_module \
    --with-http_addition_module \
    --with-http_auth_request_module \
    --with-http_dav_module \
    --with-http_degradation_module \
    --with-http_flv_module \
    --with-http_gunzip_module \
    --with-http_gzip_static_module \
    --with-http_image_filter_module=dynamic \
    --with-http_mp4_module \
    --with-http_perl_module=dynamic \
    --with-http_random_index_module \
    --with-http_realip_module \
    --with-http_secure_link_module \
    --with-http_slice_module \
    --with-http_ssl_module \
    --with-http_stub_status_module \
    --with-http_sub_module \
    --with-http_v2_module \
    --with-mail=dynamic \
    --with-mail_ssl_module \
    --with-stream=dynamic \
    --with-stream_ssl_module \
    --with-stream_ssl_preread_module \
    --with-threads \
    --with-pcre \
    --with-pcre-jit \
    --add-dynamic-module=/usr/local/ngx_http_geoip2_module

#编译若有报错,大部分是缺少依赖,根据提示补全依赖重新编译即可

 make && make install     #编译成功后会自动替换原来的nginx,无须手动,也不会中断nginx进程

# 安装后需要重载nginx就能生效
systemctl reload nginx

#查看nginx版本信息
[root@VM-16-3-centos local]# nginx -V
nginx version: nginx/1.20.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/lib/nginx/tmp/client_body --http-proxy-temp-path=/var/lib/nginx/tmp/proxy --http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi --http-uwsgi-temp-path=/var/lib/nginx/tmp/uwsgi --http-scgi-temp-path=/var/lib/nginx/tmp/scgi --pid-path=/run/nginx.pid --lock-path=/run/lock/subsys/nginx --user=nginx --group=nginx --with-compat --with-debug --with-file-aio --with-google_perftools_module --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_degradation_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_image_filter_module=dynamic --with-http_mp4_module --with-http_perl_module=dynamic --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail=dynamic --with-mail_ssl_module --with-stream=dynamic --with-stream_ssl_module --with-stream_ssl_preread_module --with-threads --with-pcre --with-pcre-jit --add-dynamic-module=/usr/local/ngx_http_geoip2_module

#可以看在末尾看到ngx_geoip2模块已成功安装

配置Nginx拦截规则

建议再操作前先备份原始nginx.conf

cp /etc/nginx/nginx.conf /root/nginx.conf.bak

vim /etc/nginx/nginx.conf

#在顶端下添加,注意路径位置

load_module "/usr/lib64/nginx/modules/ngx_http_geoip2_module.so";

#再http模块中添加以下配置,就要注意下载的Geoip数据库文件的地址
#这里再补充一点,如果想让某个国家地区访问可以单独加比如 HK no; 代表香港也可以访问
        geoip2 /usr/share/GeoIP/GeoLite2-City_20240924/GeoLite2-City.mmdb {
        auto_reload 5m;
        $geoip2_data_country_code country iso_code;
                }
          map $geoip2_data_country_code $allowed_country {
                default yes;
                CN no;  # 中国大陆允许
                HK no;  # 香港允许
                TW no;  # 台湾允许
                MO no;  # 澳门允许
        }

#以上配置完成后在你想要屏蔽的server模块增加如下配置
server {
        listen       8080;
        server_name  127.0.0.1;

        location / {
            root  /home/valuemap/website/web/;
            index  index.html index.htm;

        if ($allowed_country = yes) {
        return 403;
                                     }
                   }
        }

#配置完成后检查nginx配置后重新加载配置文件
nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

nginx -s reload

nginx完成配置如图

配置完成后使用国外IP访问测试,也可以科学上网的设备来访问测试

配置完成

神志不清.
关注
专栏目录
Nginx 限流模块:限制高并发和IP访问频率
Bertram的博客
10-09 3527
nginx 限流模块:限制高并发和IP访问频率
nginx做地域限制
Linux_cui的博客
11-29 4481
对网页访问nginx做地域限制: 对国家地区或者是城市的限制通过GeoIP模块进行处理 1. 先查看下nginx是否编辑有GeoIP模块:nginx -V      在输出界面看是否有--with-http_geoip_module    若没有 yum -y install geoip-devel           GeoIP数据库会被安装在 /usr/share/GeoIP/GeoIP
网页只允许中国用户访问
chen_657164的专栏
02-18 439
网页只允许中国用户访问: $language = substr($_SERVER['HTTP_ACCEPT_LANGUAGE'],0,2); //获取访客语言,是HTTP头信息的ACCEPT_LANGUAGE的前两个字符 if($language != 'zh'){ //zh是中文,包括zh-CN简体中文和zh-TW正体中文 header("Location: /yourpage.h
Nginx服务器配置GeoIP模块来拦截指定国家IP
01-10
最近有一个网站项目需求:需要屏蔽国内的方问请求。花时间研究了一下这方面的资料。目前找到的最佳方法就是使用 Nginx 的 GeoIP 模块来实现地区的识别。然后配置相关国家的 ISO 名称,禁止访问即可。记录一下相关过程。 编译 GeoIP 组件 maxmind 提供的免费版数据库已经可以满足需求,在使用数据库前,需要先编译 GeoIP 组件: wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.8.tar.gz ./configure make make install 下载 IP 库 从 maxmind 下载 I
nginx限制国家地区访问
m0_58189021的博客
11-03 787
只通过allow和deny配置实现nginx访问地域限制,无需安装任何第三方工具,亲测可用!!!
nginx 配置 可使用服务器IP访问网站
u013723308的博客
06-29 2591
1,添加80端口 firewall-cmd --zone=public --add-port 80/tcp --permanent。nginx 默认监听的是80端口,,我们也可以在nginx配置文件中复制粘贴多个server,并设置不同的监听端口。如果想要在局域网中使用ip访问nginx配置网站,需要在防火墙中设置开放端口。2,重启防火墙服务:service firewalld restart。此时,可通过服务器ip访问配置好的网站
Nginx 禁止IP访问允许域名访问
gj333的专栏
04-13 486
这个设置非常有用。 比如别人通过ip或者未知域名访问你的网站的时候,你希望禁止显示任何有效内容,可以给他返回500. 目前国内很多机房都要求网站主关闭空主机头,防止未备案的域名指向过来造成麻烦。就可以这样设置: server { listen 80 default; return 500; }
Nginx访问限制配置详解
01-10
可以通过配置基于ip访问控制,达到让某些ip能够访问,限制哪些ip不能访问的效果 这是允许 访问配置方法 配置语法:allow address | CIDR | unix | all; 默认配置:没有配置 配置路径:http、server、location、...
Nginx网站服务(安装nginxnginx访问配置
m0_54594153的博客
08-29 4098
由于其可以解析http协议,我看可以根据url进行请求的分发,具有很大的灵活性,但是协议的解析存在性能的消耗,为了能获取更高的代理性能。反向代理解释:是指用户不需要知道目标服务器的地址,也不需要在用户端做任何设定,可以直接通过访问反向代理服务器来获得目标服务器的资源,反向代理提高了内部服务器安全,加快了对内部服务器访问速度。Nginx配置及运行需要 pcre、zlib 等软件包的支持,因此应预先安装这些软件的开发 包(devel),以便提供相应的库和头文件,确保 Nginx 的安装顺利完成。....
通过Nginx配置访问IP白名单
wanzhong11的博客
06-26 5302
如果想增加允许访问IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认。nginx某个端口server代理生效,允许192.168.1.6和192.168.1.6的访问,其他所有IP均不能访问。有时部署的应用需要只允许某些特定的IP能够访问,其他IP允许访问,这时,就要设置访问白名单;nginx所有代理生效,允许192.168.1.6的访问,其他所有IP均不能访问。互联网上,一般访问端client的IP都不是本机的局域网IP,而是。
利用nginx宝塔免费防火墙实现禁止国外IP访问网站
猿小白的博客
01-25 2169
本章教程,主要介绍,如何利用nginx宝塔面板中的插件免费防火墙,实现一键禁止国外IP访问网站
使用Nginx的Realip模块探知真实客户端IP
你知道莽村的莽怎么来的吗!
05-20 1530
ngx_http_realip_module模块允许覆盖由代理服务器(如前端Nginx或负载均衡器)传递的客户端IP地址。通过设置real_ip_header和set_real_ip_from指令,Nginx可以从特定的HTTP头或指定的IP范围内提取真实的客户端IP地址。
nginx配置允许通过域名访问,不允许通过ip访问
lmq1993的博客
11-06 2292
http { server { listen 80; server_name www.a.com; } server { listen 80 default_server; server_name _; return 403; } } 除了用域名能访问,使用ip访问则403 http { server { listen 80; server_name www.a.com; } server { listen 80 default_server; ser
Nginx 配置特定IP访问
qq_41941900的博客
04-02 2237
上述配置表示不允许IP地址为192.168.1.100和192.168.1.200的客户端访问该location块,其它IP地址的客户端将被允许。上述配置表示只允许IP地址为192.168.1.100和192.168.1.200的客户端访问该location块,其它IP地址的客户端将被拒绝。上述配置表示不允许IP地址为192.168.1.200的客户端访问该location块,其它IP地址的客户端将被允许。在Nginx配置文件中,通过一些变量来表示客户端的IP地址。1、允许特定IP地址访问
nginx限制特定国家或地区的访问
最新发布
缘来侍你的博客
07-01 651
这里下载GeoLite2 Country或者GeoLite2 City都行,如果你需要精确到城市,推荐下载GeoLite2 City;我这里跟上面的放一起,最终路径/www/geoip/ngx_http_geoip2_module/GeoLite2-Country.mmdb。1. 先查看本地nginx是否有ngx_http_geoip2模块(如果有的同学有该模块可以直接跳到下面直接配置nginx服务)找一个文件夹放置数据库文件,只需要GeoLite2-Country.mmdb文件就行,记住文件路径。
2019-01-16 nginx 使用Geoip禁止非法地区访问允许指定地区访问允许域名访问...
逆风飞翔的博客
01-16 2581
最近公司内部为了外部访问方便搭建了一台堡垒机,然后发现老是被字典破解,后台登录记录全是弱密码暴力破解 暴力破解记录 虽然我的用户名密码比较安全,但也是虚的一逼啊,抓紧时间禁止它访问.虽然国内也会有肉鸡攻击,但毕竟减少了不少概率. 先查看下nginx是否编辑有GeoIP模块: nginx -V 在输出界面看是否有--with-http_g...
Nginx/Apache禁止国内ip
li1441853031的博客
11-25 8165
禁止国内ip代码
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值