1、第一种方法:allow、deny
deny和allow指令属于ngx_http_access_module,nginx默认加载此模块,以是可直策应用。
这种办法,最大略,最直接。设置类似防火墙iptable,利用方法:
直接配置文件中添加:
#白名单设置,allow后面为可访问IP location / { allow 123.13.123.12; allow 23.53.32.1/100; deny all;}#黑名单设置,deny后面接限定的IP,为什么不加allow all? 由于这个默认是开启的 location / { deny 123.13.123.12;}#白名单,特定目录访问限定location /tree/list { allow 123.13.123.12; deny all;}
或者通过读取文件IP配置白名单
location /{ include /home/whitelist.conf; #默认位置路径为/etc/nginx/ 下, #如直接写include whitelist.conf,则只须要在/etc/nginx目录下创建whitelist.conf deny all;}
在/home/目录下创建whitelist.conf,并写入须要加入白名单的IP,添加完成后查看如下:
cat /home/whitelist.conf#白名单IPallow 10.1.1.10;allow 10.1.1.11;
白名单设置完成,黑名单设置方法一样。
2:第二种方法,ngx_http_geo_module
默认情形下,一样平常nginx是有加该模块的,ngx_http_geo_module:官方文档:https://nginx.org/en/docs/http/ngx_http_geo_module.html,参数需设置在位置在http模块中。
此模块可设置IP限定,也可设置国家地区限定。位置在server模块外即可。
语法示例:
配置文件直接添加geo $ip_list { default 0; #设置默认值为0 192.168.1.0/24 1; 10.1.0.0/16 1;}server { listen 8081; server_name 192.168.152.100; location / { root /var/www/test;index index.html index.htm index.php;if ( $ip_list = 0 ) {#判断默认值,如果值为0,可访问,这时上面添加的IP为黑名单。#白名单,将设置$ip_list = 1,这时上面添加的IP为白名单。proxy_pass http://192.168.152.100:8081; }
同样可通过读取文件IP配置
geo $ip_list { default 0; #设置默认值为0 include ip_white.conf;}server { listen 8081; server_name 192.168.152.100; location / { root /var/www/test;index index.html index.htm index.php;if ( $ip_list = 0 ) {return 403;#限定的IP返回值为403,也可以设置为503,504其他值。#建议设置503,504这样返回的页面不会暴露nginx干系信息,限定的IP看到的信息只显示做事器缺点,无法判断真正缘故原由。 }
在/etc/nginx目录下创建ip_list.conf,添加IP完成后,查看如下:
cat /etc/nginx/ip_list.conf192.168.152.1 1;192.168.150.0/24 1;
设置完成,ip_list.conf的IP为白名单,不在名单中的,直接返回403页面。黑名单设置方法相同。
3、ngx_http_geo_module 负载均衡(扩展)
ngx_http_geo_module,模块还可以做负载均衡利用,如web集群在不同地区都有做事器,某个地区IP段,负载均衡至访问某个地区的做事器。办法类似,IP后面加上自定义值,不仅仅数字,如US,CN等字母。
示例:
如果三台做事器:122.11.11.11,133.11.12.22,144.11.11.33
geo $country { default default; 111.11.11.0/24 uk; #IP段定义值uk 111.11.12.0/24 us; #IP段定义值us }upstream uk.server { erver 122.11.11.11:9090; #定义值uk的IP直接访问此做事器} upstream us.server { server 133.11.12.22:9090; #定义值us的IP直接访问此做事器}upstream default.server { server 144.11.11.33:9090; #默认的定义值default的IP直接访问此做事器} server { listen 9090; server_name 144.11.11.33; location / { root /var/www/html/; index index.html index.htm; } }
然后在
二、国家地区IP限定访问有些第三方也供应设置,如cloudflare,设置更大略,防火墙规则里设置。这里讲讲nginx的设置方法。
1:安装ngx_http_geoip_module模块
ngx_http_geoip_module:官方文档:https://nginx.org/en/docs/http/ngx_http_geoip_module.html,参数需设置在位置在http模块中。
nginx默认情形下不构建此模块,应利用 --with-http_geoip_module 配置参数启用它。
对付ubuntu系统来说,直接安装 nginx-extras组件,包括险些所有的模块。
sudo apt install nginx-extras
对付centos系统,安装模块。
yum install nginx-module-geoip
2、下载 IP 数据库
此模块依赖于IP数据库,所有数据在此数据库中读取,所有还须要下载ip库(dat格式)。
MaxMind:https://www.maxmind.com/en/home 供应了免费的 IP 地域数据库,坏是MaxMind:https://www.maxmind.com/en/home官方已经停滞支持dat格式的ip库。
在其他地方可以找到dat格式的文件,或者老版本的,当然数据不可能最新,多少有偏差。
第三方下载地址:https://www.miyuru.lk/geoiplegacy
下载同时包括Ipv4和Ipv6的country、city版本。
#下载国家IP库,解压并移动到nginx配置文件目录,
sudo wget https://dl.miyuru.lk/geoip/maxmind/country/maxmind.dat.gzgunzip maxmind.dat.gzsudo mv maxmind.dat /etc/nginx/GeoCountry.datsudo wget https://dl.miyuru.lk/geoip/maxmind/city/maxmind.dat.gzgunzip maxmind.dat.gzsudo mv maxmind.dat /etc/nginx/GeoCity.dat
3、配置nginx
示例:
geoip_country /etc/nginx/GeoCountry.dat;geoip_city /etc/nginx/GeoCity.dat;server { listen 80; server_name 144.11.11.33; location / { root /var/www/html/; index index.html index.htm; if ($geoip_country_code = CN) { return 403; #中国地区,谢绝访问。返回403页面} } }
这里,地区国家根本设置就完成了。
Geoip其他参数:
国家干系参数:$geoip_country_code #两位字符的英文国家码。如:CN, US$geoip_country_code3 #三位字符的英文国家码。如:CHN, USA$geoip_country_name #国家英文全称。如:China, United States城市干系参数:$geoip_city_country_code #也是两位字符的英文国家码。$geoip_city_country_code3 #上同$geoip_city_country_name #上同.$geoip_region #这个经测试是两位数的数字,如杭州是02, 上海是 23。但是没有搜到干系资料,希望知道的朋友留言告之。$geoip_city #城市的英文名称。如:Hangzhou$geoip_postal_code #城市的邮政编码。经测试,海内这字段为空$geoip_city_continent_code #不知什么用场,海内彷佛都是AS$geoip_latitude #纬度$geoip_longitude #经度