如何用Nginx实现对城市以及指定IP的访问限制?

已于 2023-05-20 21:20:16 修改
阅读量3.9k 收藏 12
点赞数 3
分类专栏: nginx 文章标签: nginx
于 2023-05-20 17:06:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43834401/article/details/130781954
版权

1.前言

在【如何用Nginx代理MySQL连接,并限制可访问IP】一文中,我们实现了通过Nginx代理MySQL连接,并限制了指定IP才能通过Nginx进行连接,以提高数据安全性。

该场景适用于根据具体的IP地址来进行访问限制,假如我们要上线一个新的功能,但是只想在某些地区进行小规模的测试,就无能为力了。

我们可以通过添加第三方模块ngx_http_geoip2_module来实现,其实Nginx也提供了ngx_http_geoip_module,至于我们为什么不使用它,我们后续揭晓。

2.限制指定IP

我们先来回顾一下,如何通过指定IP来进行访问限制。

Nginx提供了ngx_http_access_modulengx_stream_access_module模块,前者针对http请求,后者针对stream连接,它们的指令非常简单,仅包含allowdeny指令,唯一区别就是作用域不同。

我们这里就以ngx_http_access_module模块为例。

1)allow

该指令设置指定的IP允许访问。可以和deny指令配合使用

作用域:http, server, location, limit_except

语法:allow address | CIDR | unix: | all;

示例:

# 允许192.168.110.1访问
allow 192.168.110.1;

# 允许192.168.110.1到192.168.255.254
allow 192.168.110.0/16;

# 允许192.168.110.1到192.168.110.254
allow 192.168.110.0/24;

# 允许所有的IP访问
allow all;

2)deny

该指令设置指定的IP禁止访问。可以和allow指令配合使用。

作用域:http, server, location, limit_except

语法:deny address | CIDR | unix: | all;

# 禁止192.168.110.1访问
deny 192.168.110.1;

# 禁止192.168.110.1到192.168.255.254
deny 192.168.110.0/16;

# 禁止192.168.110.1到192.168.110.254
deny 192.168.110.0/24;

# 禁止所有的IP访问
deny all;

3)配置示例

禁止所有的IP访问,192.168.110.100除外。

http {
	server {
		listen 80;
		server_name localhost;
		allow 192.168.110.100;
		deny all;
	}
}

🔔Tips:如果指定了allow,需要配合deny使用,否则就是允许所有的IP地址访问。

3.限制国家/城市

前面我们提到了Nginx也提供了ngx_http_geoip_module来实现根据国家/城市进行访问限制。

官当文档:https://nginx.org/en/docs/http/ngx_http_geoip_module.html

从上图可以得知该模块需要maxmind的数据库,并且格式为.dat,那好,我们来看看maxmind提供的数据,如下图:

其格式为.mmdb,与该模块的数据格式不匹配,因此我们使用第三方模块ngx_http_geoip2_module

下载地址:https://github.com/leev/ngx_http_geoip2_module/archive/refs/heads/master.zip

3.1 安装maxminddb library

首先,我们需要安装用于读取.mmdb的文件的依赖。

apt install libmaxminddb0 libmaxminddb-dev mmdb-bin

3.2 构建模块

对于添加第三方模块,我们需要在configure时使用--add-module来实现。例如:

./configure --sbin-path=/usr/local/nginx/nginx --conf-path=/usr/local/nginx/nginx.conf --pid-path=/usr/local/nginx/nginx.pid --with-stream --add-module=/home/stone/nginx-1.22.1/module/ngx_http_geoip2_module

其余步骤,可参照【Nginx基本命令&不停机版本升级】一文进行,这里不再赘述。

3.3 GEOIP数据下载

下载地址(需注册账号):https://dev.maxmind.com/geoip/geolite2-free-geolocation-data

国家库:

城市库:

通过解压缩得到GeoLite2-Country.mmdbGeoLite2-City.mmdb数据库文件。

3.4 配置

3.4.1 初体验

在进行配置之前,我们先通过第一步安装的依赖库来体验一下。

mmdblookup --file /usr/local/nginx/GeoLite2-City.mmdb --ip 183.195.99.161

可以看到,其识别出这是一个来自上海的IP地址。

3.4.2 配置示例

接下来,我们开始配置。

http {
	include       mime.types;
	default_type  application/octet-stream;

	# 自定义日志格式
	log_format geoip '$http_x_forwarded_for_temp - $remote_user [$time_local] - $request - $status - $geoip2_country_name_en - $geoip2_city_name_en';

	geoip2 /usr/local/nginx/GeoLite2-Country.mmdb {
		auto_reload 5m;
		$geoip2_metadata_country_build metadata build_epoch;
		$geoip2_country_code source=$http_x_forwarded_for_temp country iso_code;
		$geoip2_country_name_en source=$http_x_forwarded_for_temp country names en;
		$geoip2_country_name_zh source=$http_x_forwarded_for_temp country names zh-CN;
	}

	geoip2 /usr/local/nginx/GeoLite2-City.mmdb {
		auto_reload 5m;
		$geoip2_city_name_en source=$http_x_forwarded_for_temp city names en;
		$geoip2_city_name_zh source=$http_x_forwarded_for_temp city names zh-CN;
	}

	server {

		listen       80;
		server_name  localhost;

		access_log logs/geoip.log geoip;
		default_type text/html;
		# 正则匹配取反
		if ($geoip2_city_name_en !~ 'Shanghai'){
			return 403 "<h1>Forbidden!</h1><p>You don't have permission to access the URL on this server.</p>";
		}

		location / {
			return 200 '<p>Real IP:  $http_x_forwarded_for_temp</p><p>Country:  $geoip2_country_name_en</p><p>City:  	$geoip2_city_name_en</p>';
		}
	}
}

🔔Tips:由于我们这里没有外网环境,因此使用$http_x_forwarded_for_temp变量来模拟,只需在请求头中加入X-Forwarded-For-Temp字段即可。实际环境还是使用$http_x_forwarded_for变量用来获取请求的真实IP。

3.4.3 实战

1)发起请求,X-Forwarded-For-Temp=183.195.99.161,上海IP,响应码200。

2)发起请求,X-Forwarded-For-Temp=221.192.127.124,唐山IP,响应码403。

3)日志记录:

以上就是Nginx限制可访问IP的全部内容,Nginx是多模块化的,还有很多高级功能,我们后面继续探索。

fkjavaer
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站通过nginx设置黑/白名单IP限制、国家城市IP访问限制
01-21 2万+
一、黑/白名单IP限制访问配置 nginx配置黑白名单有好几种方式,这里只介绍常用的两种方法。 1、第一种方法:allow、deny deny和allow指令属于ngx_http_access_module,nginx默认加载此模块,所以可直接使用。 这种方式,最简单,最直接。设置类似防火墙iptable,使用方法: 直接配置文件中添加: #白名单设置,allow后面为可访问IP location / { allow 123.13.123.12; allow 23.53.32.1/
Nginx限制IP访问某些页面的操作
09-29
主要介绍了Nginx限制IP访问某些页面的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
使用Nginx限制IP请求和并发连接数的实现方法
最新发布
雾里看花的博客
03-04 709
在Web服务器中,为了保护服务器免受恶意请求和过多的并发连接的影响,我们经常需要限制来自特定IP地址的请求和并发连接数。本文介绍了如何使用Nginx限制模块来实现这些限制,并提供了一个示例配置。
nginx配置限制同一个ip访问频率方法
01-10
1、在nginx.conf里的http{}里加上如下代码: limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; 2、在需要限制并发数和下载带宽的网站配置server{}里加上如下代码: limit_conn perip 2; limit_conn perserver 20; limit_rate 100k; 补充说明下参数: $binary_remote_addr是限制同一客户端ip地址; $server_name是限制同一server最
Nginx屏蔽F5心跳日志、指定IP访问日志
09-30
主要介绍了Nginx屏蔽F5心跳日志、指定IP访问日志,本文直接给出配置示例,需要的朋友可以参考下
NGINXnginx精准禁止特定国家或者地区IP访问
qq_40907977的博客
05-20 9765
转载来源 :NGINXnginx精准禁止特定国家或者地区IP访问 :http://www.safebase.cn/article-258751-1.html 摘要: 要求:对网站的信息,比如某个访问节点不想国内或者国外的用户使用,禁止国内或者国外或者精确到某个城市的那种情况。解决方式:1.Cloudfalre来实现禁止特定国家的ip访问,比较简单,但是需要money!!!2.nginx,直接使用geoip模块,现在我们使用最新的ngx_http_geoip2,该模块可以精确到国家、省、市 要求:对网站
nginx禁用ip方法
热门推荐
php-yyds
07-07 1万+
这样,当IP地址为192.168.1.100的客户端的连接数超过1或请求频率超过10个请求/秒时,Nginx限制访问。通过以上几种方法,可以在Nginx中有效地禁用特定IP访问。指令的组合来限制IP访问。指令来禁止特定IP访问。这样,除了IP地址为192.168.1.100的请求之外,其他IP地址都将被允许访问。指令来限制特定IP的连接数和请求频率。这些指令可以在Nginx的配置文件中的。指令来禁止特定IP访问外,还可以使用HTTP模块的。指令:在Nginx的配置文件中,可以使用。
Nginx配置限制IP访问 懒的程序入手就Nginx
baidu_37366055的博客
06-17 5703
nginx配置ip限制
nginx限制使用IP访问
m0_46598549的博客
06-16 570
可以通过修改Nginx配置文件来禁止IP访问,只需在server中判断IP即可。另外,也可以修改网站配置文件.htaccess来限制IP(段)访问。注意,修改需要重启Nginx服务器才能生效。”
Nginx配置只允许指定ip访问
weixin_42396197的博客
01-14 8269
只在nginx配置文件location段加入代码后重启nginx,如下 location / { client_max_body_size 48m; index index.html index.htm index.php; if (!-e $request_filename) { rewrite ^(.*)$ /index.php?s=$1 last;
NGINX根据用户真实IP限源
搬砖捡瓦
07-25 5393
nginx中根据用户真实IP限制访问,绕开中间代理服务器
使用Nginx实现根据 IP 匹配指定 URL
09-30
最近的一个项目,需要特定的IP访问某专题页面的时候跳转到网站首页,思考了下,直接使用NGINX实现,分享给大家。
nginx配置 geoip2限制 不同地区访问网站
qq_44605317的博客
03-17 827
3.1首先下载nginx的第三方模块ngx_http_geoip2_module ,下载地址。然后对nginx增加ngx_http_geoip2_module模块。如果上面命令返回这些 那么就证明配置成功了 接下来在nginx配置。geoip2下载离线数据库库需要注册用户才可下载。下载到本地后,然后上传至服务器,放到服务器目录下。配好后重启nginx就可以了。nginx必须1.15往上。3.3测试是否安装成功。
nginx做地域限制
Linux_cui的博客
11-29 4326
对网页访问nginx做地域限制: 对国家地区或者是城市限制通过GeoIP模块进行处理 1. 先查看下nginx是否编辑有GeoIP模块:nginx -V      在输出界面看是否有--with-http_geoip_module    若没有 yum -y install geoip-devel           GeoIP数据库会被安装在 /usr/share/GeoIP/GeoIP
nginx屏蔽某些地区访问网站
weixin_42112342的博客
11-30 3525
背景:用aws e2实例部署了一个网站 需求:屏蔽国内用户访问
Nginx 限制访问 - 通过地理位置限制访问
kikajack的博客
02-20 3564
原文地址1. 概述Nginx 可以通过地理位置来区分用户。例如,对于不同国家可以显示不同的页面内容,也可以对指定国家或城市限制内容分发。 Nginx 使用第三方 MaxMind 数据库来匹配用户的 IP 地址及其位置。 只要地理位置已知,就可以在 map 或 split_clients 模块中使用基于 geoip 的变量。 HTTP 和 TCP/UDP 协议都支持基于地理位置的访问限制。2. 先
IP访问控制
qq_44539748的博客
07-10 4202
在本教程中,我们学习了如何使用Nginx配置IP访问控制,以根据IP地址对请求进行访问控制。通过按照上述步骤配置Nginx,并设置适当的allow和deny指令,您可以允许或拒绝特定IP地址的访问IP访问控制是一种常见的安全措施,用于限制特定IP地址的访问权限,可以允许或拒绝特定IP地址的请求。打开Nginx的配置文件,通常是位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。使用允许访问IP地址或IP地址范围发起请求到Nginx服务器。
Nginx控制IP(段)的访问策略配置
m0_37258559的博客
01-09 7268
Nginx控制IP(段)的访问策略配置
Nginx 禁止IP访问 只允许域名访问,以及Nginx防盗链设置
qq_43762932的博客
04-19 4419
盗链在如今的互联网世界无处不在,盗图,盗视频、盗文章等等,都是通过获取正规网站的图片、视频、文章等的 url 地址,直接放到自己网站上使用而未经授权。模块,其依据的原理是: 如果网站盗用了你的图片,那么用户在点击或者查看这个盗链内容时,发送 http 请求的头部中的 referer 字段将为该盗版网站的 url。下面我们就先看看Nginx的默认虚拟主机在用户通过IP访问,或者通过未设置的域名访问(比如有人把他自己的域名指向了你的ip)的时 候生效最关键的一点是,在。接下来,构造合的 URL 和指令。
nginx设置指定域名指定IP访问
06-03
要配置 Nginx 使得指定域名只能在指定 IP 地址下访问,可以按照以下步骤进行操作: 1. 打开 Nginx 配置文件,一般为 `/etc/nginx/nginx.conf`。 2. 在 `http` 段中添加以下内容,其中 `example.com` 为你要限制的域名,`192.168.1.100` 为允许访问IP 地址: ``` http { ... geo $allowed { default 0; example.com 192.168.1.100; } ... } ``` 3. 在 `server` 段中添加以下内容,用于限制访问: ``` server { ... if ($allowed = 0) { return 403; } ... } ``` 4. 保存配置文件并重新启动 Nginx 服务: ``` sudo systemctl restart nginx ``` 现在,只有指定 IP 地址可以访问指定域名,其他 IP 地址访问时会返回 403 错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值