- 1A星融合DWA算法:实现静态与动态避障的路径规划,附详细代码注释与matlab源码_dwa算法如何利用a*算法规划出的全局路径点
- 2STM32之sprintf函数_stm32 sprintf
- 3【Python】Windows 11下更改python默认的pip install包安装路径_windows pip 安装位置设置
- 4基于springboot+深度学习的人脸识别会议签到系统设计与实现_深度学习人脸识别会议签到系统
- 5AC-DC数字稳压电源设计与仿真+Multisim仿真_mutisim输出基准电压
- 6数据库实验一(MySQL基本操作命令总结)_mysql实验方法
- 7STM32F407VET6 学习笔记1:GPIO引脚认识分类与开发板原理图_stm32f407vet6引脚图及功能
- 8华为2019优招笔试经历----不堪回首的往事俩小时_华为笔试总分600分平均成绩
- 9RabbitMQ消息的发布确认机制详解_rabbitmq 消息确认
- 10使用库函数strcat()追加字符串 练习_str追加的函数
如何给Nginx配置访问IP白名单_nginx 白名单
赞
踩
一、Nginx配置访问IP白名单
有时部署的应用需要只允许某些特定的IP能够访问,其他IP不允许访问,这时,就要设置访问白名单;
设置访问白名单有多种方式:
1.通过网络防火墙配置,例如阿里云/华为云管理平台
2.通过服务器防火墙配置,iptables
3.通过nginx配置访问分发限制
4.通过nginx的allow、deny参数进行访问限制(本文使用此方案)
Nginx白名单使用allow和deny来控制,该配置可以添加在http段,也可以server、location中
如果想增加允许访问的IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr
示例一
nginx所有代理生效,仅允许192.168.1.6的访问,其他所有IP均不能访问。
- http {
- ......
- allow 192.168.1.6;
- deny all;
- ......
- }
示例二
nginx某个端口server代理生效,仅允许192.168.1.6和192.168.1.6的访问,其他所有IP均不能访问。
- server {
- ......
- allow 192.168.1.6;
- allow 192.168.1.8;
- deny all;
- ......
- }
示例三
nginx某个location代理生效,仅允许192.168.1.6和192.168.2.0~192.168.2.255网段的访问,其他所有IP均不能访问。
- location /screen {
- ......
- allow 192.168.1.6;
- allow 192.168.2.0/24;
- deny all;
- ......
- }
修改完成后,重载nginx配置文件生效:sbin/nginx -s reload
注意:如果本机也需要访问这个代理,记得加上allow 127.0.0.1;
配套操作:互联网上,一般访问端client的IP都不是本机的局域网IP,而是运营商的出口IP,需要注意;
查询方法:百度或者搜狗,输入关键词“IP”,然后点击“IP地址查询”相关搜索结果,即可查询到自己的IP。
不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问此nginx的IP。
二、Nginx添加白名单的四种方式
1)添加防火墙白名单
针对nginx域名配置所启用的端口(比如80端口)在iptables里做白名单,比如只允许100.110.15.16、100.110.15.17、100.110.15.18访问.但是这样就把nginx的所有80端口的域名访问都做了限制,范围比较大!
2)利用$remote_addr参数进行访问的分发限制
如果只是针对nginx下的某一个域名进行访问的白名单限制,那么可以在nginx的配置文件里进行设置,如下:
- ##白名单设置,只允许下面三个来源ip的客户端以及本地能访问该站。主要是下面这三行
-
- if ($remote_addr !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {
-
- rewrite ^.*$ /maintence.php last;
-
- }
3)也可以使用$http_x_forwarded_for参数进行访问的分发限制,如下:
- ##白名单设置,只允许下面三个来源ip的客户端以及本地能访问该站。
-
- if ($http_x_forwarded_for !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {
-
- rewrite ^.*$ /maintence.php last;
-
- }
4)还可以利用nginx的allow、deny参数进行访问限制
- ##白名单设置,只允许下面三个来源ip的客户端以及本地能访问该站。
-
- allow 100.110.15.16;
-
- allow 100.110.15.17;
-
- allow 100.110.15.18;
-
- allow 127.0.0.1;
-
- deny all;
三、Nginx根据用户IP设置访问跳转
第一种方法
根据$remote_addr客户端IP地址判断,判断成功即返回301跳转,可以写正则,如果有大量不规则IP就很头疼了。
- if ($remote_addr = 192.168.1.123) {
- return 301 https://blog.whsir.com;
- }
第二种方法
nginx通过lua实现,这方法是孔大神给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。
注意nginx要编译lua模块才可以使用,我的whsir一键包nginx已集成lua。
- rpm -ivh http://mirrors.whsir.com/centos/whsir-release-centos.noarch.rpm
-
- yum install wnginx -y
- set_by_lua $info '
- local opt = ngx.var.remote_addr
- local file = io.popen("ip=" ..opt.. ";if grep -q $ip /tmp/ip;then echo $ip; exit 0;fi ; for net in $(grep / /tmp/ip);do [ $(ipcalc -n $ip/${net#*/}) = $(ipcalc -n $net) ] && echo $ip && break; done")
- content1 = file:read("*l")
- return content1
- ';
-
-
-
- if ( $info = $remote_addr) {
-
- return 301 https://blog.whsir.com;
-
- }
四、nginx配置IP白名单的详细步骤
分析nginx访问日志,有哪些IP访问过nginx。
命令参考:
awk '{print $1}' logs/access.log | sort | uniq -c | sort -nr -k1输出的效果案例:
1053 192.168.3.15
893 192.168.3.10
818 192.168.0.8
1、添加IP白名单文件
在nginx目录的 conf 中添加文件 ip.conf,注意白名单文件不用添加任何注释,可以有空行
vi ip.conf- 192.168.3.11 1;
-
- 192.168.3.10 1;
- 192.168.0.112 1;
2、配置nginx.conf
编辑http节点:
- http {
-
- # ...
-
- # geo IP whitelist
-
- geo $remote_addr $ip_whitelist {
-
- default 0;
-
- include ip.conf;
-
- }
-
- # ...
-
- }
编辑server节点:
- server {
-
- listen 80;
-
- # ...
-
- # IP whitelist
-
- set $whitelist_flag 1;
-
- if ( $ip_whitelist != 1 ) {
-
- set $whitelist_flag "${whitelist_flag}0";
-
- }
-
- if ( $request_uri !~* '/warn_navigate_page' ) {
-
- set $whitelist_flag "${whitelist_flag}0";
-
- }
-
- if ( $whitelist_flag = "100" ) {
-
- #return 403;
-
- rewrite ^(.*)$ $scheme://$host:$server_port/warn_navigate_page break; #白名单的提示页面
-
- }
-
- # ...
-
- }
也可以在location节点中编辑,示例:
编辑location节点:
- location /test {
-
- proxy_pass http://IP/test;
-
- # ...
-
- # IP whitelist
-
- set $whitelist_flag 1;
-
- if ( $ip_whitelist != 1 ) {
-
- set $whitelist_flag "${whitelist_flag}0";
-
- }
-
- if ( $request_uri !~* '/warn_navigate_page' ) {
-
- set $whitelist_flag "${whitelist_flag}0";
-
- }
-
- if ( $whitelist_flag = "100" ) {
-
- #return 403;
-
- rewrite ^(.*)$ $scheme://$host:$server_port/warn_navigate_page break; #白名单的提示页面
-
- }
-
-
-
- # ...
-
- }
添加导航的提示页 /warn_navigate_page
- server {
-
- listen 80;
-
- # ...
-
- # 白名单的提示导航页面
-
- location /warn_navigate_page {
-
- root /home/java/nginx/bizapp/warn_navigate_page;
-
- index warn_navigate_page.html warn_navigate_page.htm;
-
- rewrite ^(.*)$ /warn_navigate_page.html break;
-
- }
-
- }
3、编辑白名单的提示导航页面
在 /home/java/nginx/bizapp/warn_navigate_page 中编辑页面warn_navigate_page.html
参考:
- <!DOCTYPE html>
-
- <html lang="en">
-
- <head>
-
- <meta charset="utf-8">
-
- <meta name="viewport" content="width=device-width,initial-scale=1.0,maximum-scale=1.0,user-scalable=no">
-
- <meta content="yes" name="apple-mobile-web-app-capable">
-
- <meta content="black" name="apple-mobile-web-app-status-bar-style">
-
- <meta content="telephone=no" name="format-detection">
-
- <meta content="email=no" name="format-detection">
-
- <title>系统通知</title>
-
- <style type="text/css">
-
- body {
-
- background: url(https://www.baidu.com/img/PCtm_d9c8750bed0b3c7d089fa7d55720d6cf.png) no-repeat;
-
- background-size: 100% 100%;
-
- background-attachment: fixed;
-
- }
-
- </style>
-
- </head>
-
- <body>
-
- <div>
-
- <pre> 【通知公告】
-
- 尊敬的用户您好,系统已不提供IP地址直接访问,请联系管理员添加白名单。互联网的域名访问地址:<a href="https://www.baidu.com">跳转https://www.weidianyuedu.com</a>
-
- </pre>
-
- </div>
-
- </body>
-
- <script type="text/javascript">
-
- </script>
-
- </html>
参考:https://blog.csdn.net/wanzhong11/article/details/131396910
