Nginx ist ein Open-Source-Hochleistungs-Webserver und Reverse-Proxy-Server, der in tatsächlichen Produktionsumgebungen weit verbreitet ist. Seine Reverse-Proxy-Funktion kann uns bei der Implementierung von Funktionen wie Verkehrskontrolle, Lastausgleich und Sicherheitsschutz helfen. Bei der Durchführung eines Reverse-Proxys müssen jedoch andere Faktoren berücksichtigt werden, wie z. B. die IP-Adresse des Clients und geografische Standortinformationen, damit wir den Zugriff besser kontrollieren und die Sicherheit der Website gewährleisten können.
Daher wird in diesem Artikel erläutert, wie man ACL basierend auf IP-Adresse und geografischem Standort im Nginx-Reverse-Proxy konfiguriert, um eine detailliertere Zugriffskontrolle zu erreichen.
1. Was ist ACL? Bevor wir die spezifische Konfigurationsmethode vorstellen, müssen wir zunächst verstehen, was ACL ist. ACL (Access Control List) ist eine Zugriffskontrollliste, eine Richtlinie zur Steuerung des Datenflusses auf Netzwerkgeräten. Mithilfe von ACL kann der Datenverkehr anhand verschiedener Bedingungen klassifiziert und eingeschränkt werden, um Netzwerksicherheit und Datenverkehrskontrolle zu gewährleisten.
In Nginx können wir ACL basierend auf IP-Adresse, geografischem Standort und anderen Bedingungen konfigurieren, um den Zugriff zu steuern. Daher können wir beim Ausführen eines Reverse-Proxys die entsprechende ACL basierend auf der IP-Adresse und den Standortinformationen des Clients konfigurieren, um die Anforderungen des Clients besser zu steuern.
2. ACL-Konfiguration basierend auf der IP-Adresse
Was ist eine IP-Adresse?
- IP-Adresse ist die Abkürzung für Internet Protocol Address, also die Internetprotokolladresse. Als Kennung, die einen eindeutigen Computer im Internet identifiziert, besteht es aus 32 Binärbits, die normalerweise als 4 Dezimalzahlen dargestellt werden, von denen jede einen Wert zwischen 0 und 255 hat und durch einen Punkt getrennt ist (z. B. 127,0 .0.1).
Klassifizierung von IP-Adressen
- IP-Adressen können nach Faktoren wie Nutzungsumfang, Vergaberegeln und Adressformat klassifiziert werden. Übliche Klassifizierungsmethoden sind wie folgt:
(1) Je nach Verwendungszweck wird in öffentliche IP-Adressen und private IP-Adressen unterteilt. Öffentliche IP-Adressen werden für die Verbindung zum Internet verwendet, und private IP-Adressen werden für das Intranet verwendet Kommunikation.
(2) Gemäß den Zuteilungsregeln wird es in statische IP-Adresse und dynamische IP-Adresse unterteilt. Eine statische IP-Adresse ist eine feste IP-Adresse, die vom Netzwerkadministrator manuell festgelegt wird und normalerweise für Geräte mit festem Standort wie Server verwendet wird. Eine dynamische IP-Adresse ist eine IP-Adresse, die von einem Netzwerkdienstanbieter dynamisch zugewiesen wird und sich im Laufe der Zeit ändert.
(3) Je nach Adressformat wird es in IPv4-Adresse und IPv6-Adresse unterteilt. IPv4-Adresse ist ein derzeit weit verbreitetes 32-Bit-Adressformat. IPv6-Adresse ist eine neue Generation von IP-Adressen, die das 128-Bit-Adressformat verwendet und als Ersatz für IPv4-Adressen verwendet wird.
IP-adressenbasierte ACL-Konfiguration in Nginx
- In Nginx können wir eine Reverse-Proxy-ACL-Konfiguration basierend auf der IP-Adresse des Clients durchführen. Die spezifische Konfiguration lautet wie folgt:
(1) Einschränkung auf eine einzelne IP-Adresse
Wenn Sie den Zugriff nur auf eine einzelne IP-Adresse beschränken müssen, können Sie die folgende Konfiguration verwenden:
location / {
#allow access from IP address 192.168.1.100
allow 192.168.1.100;
deny all;
}Nach dem Login kopieren
In der obigen Konfiguration lautet die Allow-Anweisung wird verwendet, um den Zugriff einzuschränken, und die Deny-Direktive wird verwendet, um den Zugriff zu verweigern. Nur Clients mit der IP-Adresse 192.168.1.100 dürfen zugreifen, anderen Clients wird der Zugriff verweigert.
(2) Einschränkungen für mehrere IP-Adressen
Wenn Sie den Zugriff auf mehrere IP-Adressen einschränken müssen, können Sie die folgende Konfiguration verwenden:
location / {
#allow access from IP address 192.168.1.100 and 192.168.1.101
allow 192.168.1.100;
allow 192.168.1.101;
deny all;
}Nach dem Login kopieren
In der obigen Konfiguration sind Clients mit den IP-Adressen 192.168.1.100 und 192.168.1.101 zulässig Um darauf zuzugreifen, werden andere Clients abgelehnt.
(3) Einschränkung basierend auf dem IP-Adresssegment
Wenn Sie den Zugriff auf ein bestimmtes IP-Adresssegment einschränken müssen, können Sie die folgende Konfiguration verwenden:
location / {
# allow access from IP address segments 192.168.1.0/24
allow 192.168.1.0/24;
deny all;
}Nach dem Login kopieren
In der obigen Konfiguration werden Clients mit dem IP-Adresssegment 192.168.1.0 /24 dürfen zugreifen, andere Clients werden abgewiesen. Darunter bedeutet „/24“ Maske, was bedeutet, dass die ersten 24 Bits die Netzwerkadresse und die letzten 8 Bits die Hostadresse sind.
3. ACL-Konfiguration basierend auf dem geografischen Standort
MaxMind GeoIP2
Für die Implementierung der ACL-Konfiguration basierend auf dem geografischen Standort in Nginx ist MaxMind GeoIP2 erforderlich. MaxMind GeoIP2 ist eine geografische IP-Standortdatenbank, die umfangreiche geografische Standortinformationen bereitstellt. Über GeoIP2 können wir die IP-Adresse des Kunden Informationen wie Stadt, Region, Land und seinem ISO-Code zuordnen.
GeoIP2-Installation
Die Installation von GeoIP2 ist hauptsächlich in vier Schritte unterteilt:
(1) Abhängigkeitspakete installieren
yum -y install automake autoconf libtool gcc make pcre-devel zlib-devel
Nach dem Login kopieren
(2) GeoIP2 herunterladen
wget https://github.com/maxmind/geoip-api-c/releases/download/v1.9.2/GeoIP-1.9.2.tar.gz
Nach dem Login kopieren
(3) GeoIP2 entpacken und installieren
tar xzf GeoIP-1.9.2.tar.gz
cd GeoIP-1.9.2
./configure
make && make check && make install
Nach dem Login kopieren
(4) Herunterladen GeoIP2-Bibliothek und GeoIP2-Stadt
mkdir /usr/share/GeoIP
cd /usr/share/GeoIP/
wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-City.tar.gz
wget http://geolite.maxmind.com/download/geoip/database/GeoLite2-Country.tar.gz
tar -zxvf GeoLite2-City.tar.gz
tar -zxvf GeoLite2-Country.tar.gz
Nach dem Login kopieren
ACL-Konfiguration basierend auf dem geografischen Standort in Nginx
Nach der Installation von GeoIP2 müssen wir es in Nginx entsprechend konfigurieren. Die spezifischen Schritte sind wie folgt:
(1) GeoIP2-bezogene Konfiguration in der Nginx-Konfigurationsdatei hinzufügen
# set geoip database path
geoip_country /usr/share/GeoIP/GeoLite2-Country.mmdb;
geoip_city /usr/share/GeoIP/GeoLite2-City.mmdb;
# enable nginx api
http {
geoip2 /usr/share/GeoIP/GeoLite2-City.mmdb {
$geoip2_data_city_name city names en;
$geoip2_data_country_iso_code country iso_code;
$geoip2_data_latitude latitude;
$geoip2_data_longitude longitude;
}
}Nach dem Login kopieren
In der obigen Konfiguration haben wir den Datenbankpfad von GeoIP2 angegeben und Informationen zu Stadt, Land, Längen- und Breitengrad usw. konfiguriert . zur späteren Verwendung.
(2) Verwendung von GeoIP2 am Nginx-Standort
location / {
# allow access from China
if ($geoip2_data_country_iso_code != CN) {
return 403;
}
}Nach dem Login kopieren
In der obigen Konfiguration ermitteln wir die geografischen Standortinformationen des Kunden und erlauben nur Kunden aus China (Ländercode ist CN) den Zugriff.
IV. Zusammenfassung
Durch die Einleitung dieses Artikels haben wir etwas über die ACL-Konfiguration basierend auf IP-Adresse und geografischem Standort im Nginx-Reverse-Proxy sowie über die Verwendung von MaxMind GeoIP2 für die Abfrage geografischer Standortinformationen und die Zugriffskontrolle erfahren. Diese Funktionen können uns dabei helfen, den Kundenzugriff besser zu kontrollieren und sicherere und effizientere Dienste bereitzustellen. Ich hoffe, dieser Artikel ist für die Leser hilfreich.
Das obige ist der detaillierte Inhalt vonACL-Konfiguration basierend auf IP-Adresse und geografischem Standort im Nginx-Reverse-Proxy. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
