需要
须要依据用户的实在 IP 进行限度, 然而 NGINX 前边还有个 F5, 导致 deny
指令不失效.
阻止用户的实在 IP 不是 192.168.14.*
和 192.168.15.*
的拜访申请.
实现
最简略的实现如下:
前置条件:
须要 nginx 前边的 load balancer 设施 (如 F5) 开启
X-Forwarded-For
反对.
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
if ($proxy_add_x_forwarded_for !~ "192\.168\.1[45]") {return 403;}
阐明如下:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
获取申请头X-Forwarded-For
中的用户实在 IP, 并附加到$proxy_add_x_forwarded_for
变量-
if...
(...)
变量$proxy_add_x_forwarded_for
不匹配正则192\.168\.1[45]
(即192.168.14.*
和192.168.15.*
)return 403
, 如果上边的条件满足, 返回 403- 即: 如果实在 IP 不是
192.168.14.*
和192.168.15.*
, 返回 403.
如果有更简单的需要, 能够参考这个示例:
proxy_set_header HOST $http_host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
if ($http_host ~ "yourdomain.hypernode.io:8443") {set $block_me_now A;}
if ($proxy_add_x_forwarded_for != YOURIP) {set $block_me_now "${block_me_now}B";
}
if ($block_me_now = AB) {
return 403;
break;
}
为啥 deny
配置不起作用?
:thinking: 疑难: 为啥以下的配置不起作用?
allow 192.168.14.0/24;
allow 192.168.15.0/24;
deny all;
依据 nginx 官网文档, deny
指令是依据「client address」进行限度的.
援用:
The
ngx_http_access_module
module allows limiting access to certain client addresses.
而「client address」对应的变量是: $remote_addr
援用:
$remote_addr
:
client address
对于 $remote_addr
:
是 nginx 与客户端进行 TCP 连贯过程中,取得的客户端实在地址. Remote Address 无奈伪造,因为建设 TCP 连贯须要三次握手,如果伪造了源 IP,无奈建设 TCP 连贯,更不会有前面的 HTTP 申请
remote_addr
代表客户端的 IP,但它的值不是由客户端提供的,而是服务端依据客户端的 ip 指定的,当你的浏览器拜访某个网站时,假如两头没有任何代理,那么网站的 web 服务器(Nginx,Apache 等)就会把 remote_addr
设为你的机器 IP,如果你用了某个代理(其实 F5 就是这个反向代理),那么你的浏览器会先拜访这个代理,而后再由这个代理转发到网站,这样 web 服务器就会把 remote_addr
设为这台代理机器的 IP。
然而理论某些非凡场景中,咱们即便有代理,也须要将 $remote_addr
设置为实在的用户 IP,以便记录在日志当中,当然 nginx 是有这个性能,然而须要编译的时候增加 --with-http_realip_module
这个模块,默认是没有装置的。(我也没有装置)
三人行, 必有我师; 常识共享, 天下为公. 本文由东风微鸣技术博客 EWhisper.cn 编写.