设为首页收藏本站
开启辅助访问

Nginx设置白名单、ip限制

 您所在的位置:网站首页 nginx域名白名单 Nginx设置白名单、ip限制

Nginx设置白名单、ip限制

2023-07-23 03:17| 来源: 网络整理| 查看: 265

1.设置白名单:http模块:http { ........ sendfile on; #tcp_nopush on; #keepalive_timeout 0; keepalive_timeout 65; #gzip on; geo $remote_addr $geo { default 1; #1表示禁止访问 127.0.0.1 0; #0表示可以访问 } include /usr/local/nginx/conf.d/*.conf; }server模块:server { listen 80; server_name jenkins.aa.bb; location / { # 如果不是白名单则 显示403 禁止访问 if ( $geo = 1 ) { return 403; } proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://127.0.0.1:59932; proxy_read_timeout 90; proxy_http_version 1.1; proxy_request_buffering off; } }2.设置目录限制白名单:

对指定请求路径不设置限制,如对请求路径为api目录下的请求不做限制,则可写为

server{ location /app { proxy_pass http://192.168.1.111:8095/app; limit_conn conn 20; limit_rate 500k; limit_req zone=foo burst=5 nodelay; } location /app/api { proxy_pass http://192.168.1.111:8095/app/api } }3.设置ip限制白名单

在《nginx限制连接数ngx_http_limit_conn_module模块》和《nginx限制请求数ngx_http_limit_req_module模块》中会对所有的IP进行限制。在某些情况下,我们不希望对某些IP进行限制,如自己的反代服务器IP,公司IP等等。这就需要白名单,将特定的IP加入到白名单中。下面来看看nginx白名单实现方法,需要结合geo和map指令来实现。

nginx默认加载了ngx-http-geo-module和ngx-http-map-module相关内容;ngx-http-geo-module    可以用来创建变量,变量值依赖于客户端 ip 地址;ngx-http-map-module   可以基于其他变量及变量值进行变量创建,其允许分类,或者映射多个变量到不同值并存储在一个变量中;

Nginx geo 格式说明 Syntax ( 语法格式 ): geo [$address] $variable { ... } Default ( 默认 ): - Content ( 配置段位 ): http Nginx map 格式说明 Syntax ( 语法格式 ): map String $variable { ... } Default ( 默认 ):- Content ( 配置段位 ): http

白名单配置示例http{ #定义白名单ip列表变量 geo $whiteiplist { default 1 ; 127.0.0.1/32 0; 10.0.0.0/8 0; 64.223.160.0/19 0; } map $whiteiplist $limit{ 1 $binary_remote_addr ; 0 ""; } #配置请求限制内容 limit_conn_zone $limit zone=conn:10m; limit_req_zone $limit zone=allips:10m rate=20r/s; server{ listen 8080; server_name test.qiangsh.com; location /app { proxy_pass http://192.168.1.111:8888/app; limit_conn conn 50; limit_rate 500k; limit_req zone=allips burst=5 nodelay; } } } 测试方法: # ab -c 100 -n 300 http://test.qiangsh.com:8080/app/docs/nginx_guide.pdf

1. geo指令定义一个白名单$whiteiplist, 默认值为1, 所有都受限制。 如果客户端IP与白名单列出的IP相匹配,则$whiteiplist值为0也就是不受限制。

2. map指令是将$whiteiplist值为1的,也就是受限制的IP,映射为客户端IP。将$whiteiplist值为0的,也就是白名单IP,映射为空的字符串。

3. limit_conn_zone和limit_req_zone指令对于键为空值的将会被忽略,从而实现对于列出来的IP不做限制。

特殊情况处理#如果想仅限制指定的请求,如:只限制Post请求,则:http{ # 其他请求.. #请求地址map映射 map $request_method $limit { default ""; POST $binary_remote_addr; } #限制定义 limit_req_zone $limit zone=reqlimit:20m rate=10r/s; server{ ... #与普通限制一致 } }#在此基础上,想进行指定方法的白名单限制处理,则:http{ #... #定义白名单列表 map $whiteiplist $limitips{ 1 $binary_remote_addr; 0 ""; } #基于白名单列表,定义指定方法请求限制 map $request_method $limit { default ""; # POST $binary_remote_addr; POST $limitips; } #对请求进行引用 limit_req_zone $limit zone=reqlimit:20m rate=10r/s; #在server中进行引用 server{ #... 与普通限制相同 } }

添加白名单后nginx报错:nginx: [warn] low address bits of 45.11.55.132/28 are meaningless in /opt/openresty/nginx/conf/public/white.conf:69 nginx: [warn] low address bits of 12.70.12.195/28 are meaningless in /opt/openresty/nginx/conf/public/white.conf:70

解决方法:

错误原因是因为子网划分错误,比如 45.11.55.132/28,每个子网有16个ip,所以起始ip一定要是16的倍数,

这个子网应该写成这样45.11.55.128/28,修改完毕后再reload nginx就不会报错了。



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3