nginx利用x_forwarded_for实现黑名单访问策略

最新推荐文章于 2024-05-08 15:12:00 发布
最新推荐文章于 2024-05-08 15:12:00 发布
阅读量1.8k 收藏 6
点赞数 3
分类专栏: Linux 文章标签: nginx 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44953227/article/details/126468352
版权

目录

白名单配置参考: https://blog.csdn.net/weixin_44953227/article/details/126227433


1、介绍

nginx的remote_addr 的地址是防护墙、F5的地址, 客户端真实的IP地址是在 x_forwarded_for中的。

该方案是在每个域名中判断一个 x_forwarded_for 中是否有系统要拒绝的IP地址,如果有就返回400,不再往后代理。

2、编写IP黑名单配置文件

在Nginx的安装目录下,添加黑名单文件 x_forwarded_for_deny.conf

编写例子如下:

map $http_x_forwarded_for $x_forwarded_for_allowed {
    default allow;
    # 拒绝一个IP地址
    #~\s*192.168.0.100$ deny;
    ~\s*192.168.0.100[,]*.*$ deny;
    # 拒绝一个网段IP地址
    ~\s*192.168.0.\d+$ deny;
    # 下面继续列出想要的IP地址
    # ....
    # 也可以额外添加黑名单的文件
    include blockip*.conf;
}

额外添加黑名单的文件 blockip.conf

~\s*192.168.0.98$ deny;
~\s*192.168.0.99$ deny;
~\s*8.8.8.8$ deny;

提醒:这个文件中即使没有一个IP地址, 系统访问也还是正常的。

3、使Nginx对IP黑名单起效果

编辑Nginx的nginx.conf文件, 使NginxIP黑名单起效果:

#找到http节点:
 
http {
    # ...
    # 白名单的相关配置文件引入
    # ...
     
    # 引入黑名单配置的文件
    include x_forwarded_for_deny.conf;
 
    # 找到对应端口的server节点
    server {
        listen 80;
        
        #...
        #每个域名的location中需要添加判断
        #location / {
        #if ( $allowed = "deny" ) { return 400; }
	    #    proxy_pass    .....;
	    #}
        #...
 
        # 白名单的相关配置
        # ....
 
        #在白名单之后,添加黑名单的配置
        if ( $x_forwarded_for_allowed = "deny" ) {
            return 400;
        }
 
 
    }
 
}

4、重载Nginx

cd nginx的安装目录

./sbin/nginx -s reload

拒绝你设置好的IP地址访问, nginx access日志用会有拒绝的IP地址日志,放回状态是400。

在黑名单的IP地址的电脑中,访问系统, 返回了错误400的页面。

weixin_44953227
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx动态添加访问白名单的方法
09-30
本篇文章主要介绍了nginx动态添加访问白名单的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Nginx之proxy_redirect使用详解
09-30
主要介绍了Nginx之proxy_redirect使用详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx-根据X-Forwarded-For设置访问黑白名单
qq522044637的博客
08-25 1533
nginx-根据X-Forwarded-For设置访问黑白名单
负载或反向代理服务器如何配置XFF以获取终端真实IP
最新发布
program哲学
05-08 1407
介绍如何在反向代理或负载中配置XFF,方便后端服务获取请求来源的真实IP
nginx 关于防护,安全,限流,动态黑名单的一些配置
lmq1993的博客
08-13 5019
1.关于动态黑名单 主要是定时查询访问日志,查询出访问频率较高的ip进行,加入黑名单 详情见我的上一篇文章nginx动态黑名单功能 2.避免网页被盗链 在http模块配置add_header X-Frame-Options SAMEORIGIN; 只允许相同域名iframe引入网页 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FR
Nginx限流和黑名单配置
赵广陆
05-17 2675
目录1 背景介绍2 Nginx 的限流策略2.1 limit_req_zone限制访问频率2.2 limit_conn_zone限制最大连接数3 黑名单设置 1 背景介绍 为了防止一些抢票助手所发起的一些无用请求,我们可以使用 nginx 中的限流策略进行限流操作。 常见的限流算法:计数器、漏桶算法、令牌桶算法 Java高并发系统限流算法的应用 从作用上来说,漏桶和令牌桶算法最明显的区别就是是否允许突发流量(burst)的处理,漏桶算法能够强行限制数据的实时传输(处理)速率,对突发流量不做额外处理;而令
Nginx配置详解
weixin_33824363的博客
02-02 617
序言 Nginx是lgor Sysoev为俄罗斯访问量第二的rambler.ru站点设计开发的。从2004年发布至今,凭借开源的力量,已经接近成熟与完善。 Nginx功能丰富,可作为HTTP服务器,也可作为反向代理服务器,邮件服务器。支持FastCGI、SSL、Virtual Host、URL Rewrite、Gzip等功能。并且支持很多第三方的模块扩展。 Nginx的稳定性、功能集、示例配...
Nginx HTTP 请求头中的 X-Forwarded-For
热门推荐
小楼一夜听春雨,深巷明朝卖杏花
07-20 1万+
背景 通过名字就知道,X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。 X-Forwarded-For 请求头格式非常简单,就这样: X-Forwarded-For: client
nginx通过http_x_forwarded_for限制来访IP示例
Skywin88的博客
06-17 8233
#http_x_forwarded_for地址不在下列IP中则返回403 map $http_x_forwarded_for $accessip { default false; 10.10.10.10 true; 10.10.10.11 true; 10.10.10.12 true; 10.10.10.13 true; 10.10.10.14 true; 10.10.10.15 true; 192.168.1.1 true; } #反向代理地址 upstream sandbox-open {
nginx学习笔记
qq_42622072的博客
05-12 1125
nginx学习笔记
nginx 根据remote_addr http_x_forwarded_for 访问权限配置
edgar_t的博客
09-26 1169
功能说明: 当 $http_x_forwarded_for 为空会‘-’时(没有代理服务器或代理未配置 $http_x_forwarded_for ),Real为$remote_addr(客户端真实IP) 判断$Realip 访问权限 当 $http_x_forwarded_for 有一个或者多个IP时Real为 $http_x_forwarded_for 第一个IP(客户端真实IP) 判断$Realip 访问权限 配置http_x_forwarded_for 代理服务器添加 proxy_set_
nginx.config_nginx_
10-01
以上仅是Nginx配置的冰山一角,实际应用中还可以结合正则表达式、if条件语句、自定义模块等实现更多高级功能。理解并熟练掌握这些基本配置,能够帮助运维人员更好地管理和优化Nginx服务器,提升网站性能和稳定性。
Nginx安装+nginx_upstream_check_module后端健康检查
02-23
Nginx所需环境的安装,及nginx安装,nginx相关功能开启,后端节点健康检查插件安装,静态资源缓存插件,缩略图插件安装等。
nginx_log_analysis:nginx日志分析
05-26
nginx_log_analysis是一个Nginx日志实时分析系统,目前已经在折800旗下的全部Nginx代理上运行,每天负责数十亿日志的实时分析。整个传输操作在log执行阶段,对请求的响应时间没有影响。如果对Ngx_Lua开发有兴趣的...
NGINX动态XFF黑名单配置
very_99的博客
04-09 1096
用client_ip查找IP,匹配后赋值给$target。#如果XFF地址格式错误,定义为特殊地址。= 1) #不为1则禁止访问NGINX PLUS的KEYVAL是可以通过API进行管理的内部可持久化kv存储。KEYVAL查找XFF地址是否在黑白名单中,来实现访问控制。
Nginx配置IP拦截
baijiafan的博客
12-02 7034
Nginx IP拦截配置的三种配置方式
nginx动态黑名单配置2
lmq1993的博客
01-22 3172
之前写过关于nginx配置动态黑名单功能 原理是查询日志,统计某段时间内访问次数很频繁的ip,对ip进行封禁 如果在nginx之前有WAF,F5设备,remote_addr 的地址是WAF、F5的地址, 客户端真实的IP地址是在 http_x_forwarded_for中的, 这样这样 nginx 默认的 deny 和 allow 就不能用了。 我们定义一个 map 拒绝的 IP 地址列表。cat x_forwarded_for_deny.conf map $http_x_forwarded_for $
Linux配置nginx负载均衡
qq_59349874的博客
05-22 748
1、配置环境(需要三台服务器) 负载均衡服务器(主)192.168.43.130 后端服务器A 192.168.43.131 后端服务器B 192.168.43.132 2、开启Nginx:/usr/local/nginx/sbin/nginx 查看端口:lsof -i :80 关闭selinux:/etc/selinux/config 修改配置文件:将SELINUX=ebforcing改为SELINUX=disabled ge...
nginx如何使用http_x_forwarded_for进行访问限制
05-31
要使用`http_x_forwarded_for`进行访问限制,您可以在Nginx的配置文件中添加如下代码: ``` # 允许特定IP访问 location / { if ($http_x_forwarded_for != "特定IP地址") { return 403; } # 其他的配置项 } ``` 这个配置中,`$http_x_forwarded_for`是一个内置变量,它会检查请求头中是否包含`X-Forwarded-For`字段。如果包含,则说明该请求是通过代理服务器发起的,此时Nginx会检查`X-Forwarded-For`字段的值是否为特定IP地址,如果不是,则返回403错误,拒绝访问。 需要注意的是,由于代理服务器可以伪造`X-Forwarded-For`字段,因此这种方式并不能完全保证安全。如果需要更加安全的措施,建议使用其他方式进行身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值