NGINX根据用户真实IP限源

最新推荐文章于 2024-05-23 16:58:55 发布
最新推荐文章于 2024-05-23 16:58:55 发布
阅读量5.5k 收藏 11
点赞数 2
分类专栏: nginx 文章标签: nginx 安全 网络 运维 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlwuaiai/article/details/125968448
版权

一、背景介绍

1、正常情况,nginx 限制ip访问方式:(根据remote_addr限制)

# nginx http\server 块中配置
allow 192.168.6.0/16;
# allow all;
deny 1.2.3.4/32;
# deny all;

2、当经过waf或者cdn等代理后(remote_addr总是waf或者cdn等上一步代理地址)

3、确认上层代理是否将用户IP传递到http_x_forwarded_for中

4、一般http_x_forwarded_for中第一个地址为用户IP,为了避免被人篡改,暂不采取直接拿第一个地址作为用户真实IP

二、基础知识介绍

1、remote_addr

HTTP协议没有IP的概念,Remote Address来自于TCP连接,表示与服务端建立TCP连接的设备IP,因此,Remote Address无法伪造。注意,这里的客户端指的是直接请求Nginx的客户端,非间接请求的客户端。

用户客户端–发送请求->Nginx1 --转发请求–>Nginx2->后端服务器

默认情况下,针对Nginx1而言,remote_addr为用户客户端IP,对Nginx2而言,$remote_addr则为Nginx1的IP。

2、X-Real-IP

HTTP代理用于表示与它产生TCP连接的设备IP,可能是其他代理,也可能是真正的请求端。
用途:当本机 Nginx 处于反向代理后端时可以获取到用户的真实IP地址。

realip 功能介绍

使用:realip 功能需要 Nginx 添加 ngx_http_realip_module 模块,默认情况下是不被编译,如果需要添加,请在编译时添加 --with-http_realip_module 选项开启它。

realip 作用域

set_real_ip_from、real_ip_header 和 real_ip_recursive 都可以用于 http、 server、location 区域配置。

realip 部分参数解释
set_real_ip_from:设置反向代理服务器,即信任服务器IP

real_ip_header X-Forwarded-For:用户真实IP存在X-Forwarded-For请求头中

real_ip_recursive:

	off:会将real_ip_header指定的HTTP头中的最后一个IP作为真实IP

	on:会将real_ip_header指定的HTTP头中的最后一个不是信任服务器的IP当成真实IP

3、X-Forwarded-For

Nginx追加上去的,但前面部分来源于nginx收到的请求头,这部分内容不是很可信。符合IP格式的才可以使用,否则容易引发XSS或者SQL注入漏洞。
每次经过proxy转发都会有记录,格式就是 client1,proxy1,proxy2,以逗号隔开各个地址,由于它是非rfc标准,所以默认是没有的,需要强制添加。

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

追加一个X-Forwarded-For的值,实际上当你搭建两台nginx在不同的ip上,并且都使用了这段配置,那你会发现在web服务器端通过request.getAttribute(“X-Forwarded-For”)获得的将会是客户端ip和第一台nginx的ip。

4、deny机制

Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。

语法
语法:allow/deny address | CIDR | unix: | all
它表示,允许/拒绝某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问。
注意:unix在1.5.1中新加入的功能。
在nginx中,allow和deny的规则是按顺序执行的。
allow 指令
1、允许哪些 IP 访问,all 表示允许所有;
2、作用域 http / server / location / limit_except ;
deny 指令
1、禁止哪些 IP 访问,all 表示禁止所有;
2、作用域 http / server / location / limit_except ;
运行机制

根据remote_addr参数限制允许还是拒绝

三、当前场景问题

1、real_ip获取用户真实IP

经过waf代理,remote_addr 为waf出口地址

  • 开启real_ip,取X-Forwarded-For中最后一个ip作为real_ip
  • 设置信任ip(中间代理服务器出口地址,本场景为waf出口地址),设置后real_ip在取值时候会过滤掉 X-Forwarded-For中信任的ip
  • 本场景作用域为http
set_real_ip_from 2.2.2.2;
set_real_ip_from 2.2.2.3;
real_ip_header X-Forwarded-For;
real_ip_recursive on;

2、赋值给remote_addr,使得deny生效

本场景此处作用域为location

proxy_set_header X-Real-IP $remote_addr;

3、如何限制用户访问

本场景此处作用域为location,写在上一步之后

include whitelist.conf;

其中whitelist.conf路径为nginx.conf同级目录中,文件中写入内容为:

allow 112.17.28.67    ;
allow 112.17.79.152/29;
deny all;

四、测试

1、检查配置文件

nginx -t

2、重新加载nginx

nginx -s reload

3、测试白名单中有的地址能否访问

4、测试白名单中没有的地址能否访问

五、注意

一定要检查配置文件地址跟改动的配置文件地址是否一致,否则会导致更改失效

zlwuaiai
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx经过多层代理后获取真实来源ip过程详解
01-20
问题 nginx取 $remote_addr 当做真实ip,而事实上,$http_X_Forwarded_For 才是用户真实ip,$remote_addr只是代理上一层的地址 解决方案: 在 http 模块 加 set_real_ip_from 172.17.10.125; #上一层代理IP地址 real_ip_header X-Forwarded-For; real_ip_recursive on; 添加之后启动nginx报错: nginx: [emerg] unknown directive set_real_ip_from in /home/lnidmp/nginx/conf/
Nginx 设置黑/白名单IP限制、国家城市IP访问限制,实战教程!
Java笔记虾
12-26 1469
戳上方蓝字“Java笔记虾”关注我1黑/白名单IP限制访问配置nginx配置黑白名单有好几种方式,这里只介绍常用的两种方法。1、第一种方法:allow、denydeny和allow指令属于ngx_http_access_module,nginx默认加载此模块,所以可直接使用。这种方式,最简单,最直接。设置类似防火墙iptable,使用方法:直接配置文件中添加:#白名单设置,allow后面为可访问I...
Nginx限制IP访问详解
最新发布
你知道莽村的莽怎么来的吗!
05-23 785
通过使用Nginx的allow和deny指令,可以轻松地控制哪些IP地址或子网段能够访问网站资源。这对于保护敏感信息、限制恶意访问等场景非常有用。希望本文能帮助你更好地理解和配置NginxIP访问控制功能。
nginx $remote_addr 详解
weixin_33682790的博客
07-17 4140
nginx的自带变量 $remote_addr 代表客户端的IPremote_addr代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个...
如何用Nginx实现对城市以及指定IP的访问限制
StoNENee的博客
05-20 4188
Nginx搭配geoip2实现对城市以及指定IP的访问限制
Nginx 基础入门补充2
saosaonian的博客
09-24 578
Nginx 日志Log 1.日志配置; 日志模块 官方文档 http://nginx.org/en/docs/http/ngx_http_log_module.html 日志模块的名称 ngx_http_log_module 相关指令 log_format 日志格式 access_log 访问日志 error_log 错误日志 open_log_file_cache 日志缓存 open_log_file_cache max=N [inactive=time] [mim_uses=N] [valid
Nginx禁止某IP(段)访问的方法
weixin_45815859的博客
08-30 2730
当你的Nginx服务器想禁止某个IPIP段访问时,可以通过配置文件来达到目的 Nginx禁止某IP(段)访问 修改Nginx配置文件nginx.conf Nginx配置访问IP可以修改nginx.conf文件,只需要在server中添加allow和deny的IP即可,如下: server { listen 80; server_name localhost; allow all; deny 123.123.123.123; error_page .
Nginx 限制IP或浏览器访问、后端健康检查 —— 筑梦之路
筑梦之路
06-02 590
方式一,利用 nginx 自带模块 ngx_http_proxy_module 和 ngx_http_upstream_module 对后端节点做健康检查。方式二 (推荐),利用 nginx_upstream_check_module 模块对后端节点做健康检查。
使用Nginx实现根据 IP 匹配指定 URL
09-30
最近的一个项目,需要特定的IP访问某专题页面的时候跳转到网站首页,思考了下,直接使用NGINX实现,分享给大家。
Nginx限制IP访问某些页面的操作
09-29
Nginx是一款高性能的HTTP和反向代理服务器,常用于...通过以上步骤,您可以灵活地控制Nginx服务器对特定IPIP段的访问权限,以满足不同的安全和管理需求。请注意,这些配置应当谨慎操作,避免误封正常访问的IP地址。
nginx限制IP恶意调用短信接口处理方法
09-30
主要介绍了nginx限制IP恶意调用短信接口处理方法,一种是nginx黑名单方式,另一种是限制IP请求数。需要的朋友可以参考下
nginx配置限制同一个ip的访问频率方法
01-10
1、在nginx.conf里的http{}里加上如下代码: limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; 2、在需要限制并发数和下载带宽的网站配置server{}里加上...
nginx限制ip访问次数
lyf0327的博客
04-07 5728
lit_req_zone的功能是通过 令牌桶原理来限制 用户的连接频率,(这个模块允许你去限制单个地址 指定会话或特殊需要的请求数 ) http { limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s; #触发条件,限制每个地址每秒只能请求10次 server { ... location ~ \.php$ {
Nginx配置限制IP访问
热门推荐
雪夜留痕的博客
04-18 3万+
Nginx配置限制IP访问 有时候我们需要针对屏蔽某些恶意的IP访问我们的网站,或者限制仅仅某些白名单IP才能访问我们的网站。这时候我们就可以在nginx中通过简单的配置来达到目的。 相关配置语句 屏蔽单个ip访问 # 格式: deny ip; deny 123.68.23.5; 允许单个ip访问 # 格式: allow ip; allow 123.68.25.6; 屏蔽所有ip访...
nginx根据$remote_addr分发 (客户端IP)
moguibeijing的专栏
10-31 1万+
server {         listen       80;         server_name  www.abc.com;         location ~ ^(.*)\/\.svn\/{             deny all;          }         location /status {             stub_status on
nginx限制ip地址
csdnhadoop的博客
04-17 428
一、服务器全局限IP #vi nginx.conf     allow 10.57.22.172;  #允许的IP     deny all; 二、站点限IP #vi vhosts.conf 站点全局限IP: location / {     index  index.html index.htm index.php;     allow 10.57.22.172;  
如何正确设置nginx中remote_addr和x_forwarded_for参数
08-16 1万+
怎样正确设置remote_addr和x_forwarded_for 2013-04-20 做网站时经常会用到remote_addr和x_forwarded_for这两个头信息来获取客户端的IP,然而当有反向代理或者CDN的情况下,这两个值就不够准确了,需要调整一些配置。 什么是remote_addr remote_addr代表客户端的IP,但它的值不是由客户端提供的,而
Openresty通过Lua+Redis 实现动态封禁IP
卡洛斯利伯
06-10 1686
需求背景 为了封禁某些爬虫或者恶意用户对服务器的请求,我们需要建立一个动态的 IP 黑名单。对于黑名单之内的 IP ,拒绝提供服务。并且可以设置失效 设计方案 实现 IP 黑名单的功能有很多途径: 1、在操作系统层面,配置 iptables,拒绝指定 IP网络请求; 优点:简单暴力,直接在服务区物理层杜绝 缺点:每次需要手动上服务器修改配置文件,麻烦,且不可控 2、在 Web Server 层面,通过 Nginx 自身的 deny 选项 或者 lua 插件 配置 IP 黑名单; 优点:可动态实现封
nginx反向代理 真实ip
12-01
为了获取真实的客户端IP,可以使用nginx的realip模块。该模块可以从请求头中获取客户端的真实IP地址,并将其传递给后端服务器。使用该模块需要在nginx的配置文件中进行如下配置: 1.在http块中添加以下配置: ```nginx http { # ... real_ip_header X-Forwarded-For; set_real_ip_from 192.168.1.0/24; # ... } ``` 其中,real_ip_header指定了从哪个请求头中获取客户端IP地址,一般情况下使用X-Forwarded-For;set_real_ip_from指定了哪些IP地址可以被信任,只有这些IP地址才会被认为是客户端的真实IP地址。 2.在server块中添加以下配置: ```nginx server { # ... location / { # ... proxy_set_header X-Real-IP $remote_addr; # ... } } ``` 其中,proxy_set_header指定了将客户端的真实IP地址传递给后端服务器的请求头名称,一般情况下使用X-Real-IP;$remote_addr表示nginx服务器与客户端之间的IP地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值