Bagaimanakah tapak web menetapkan sekatan IP hitam/senarai putih dan sekatan akses IP negara dan bandar melalui nginx?

1 Konfigurasi akses terhad IP senarai hitam/putih

Terdapat beberapa cara untuk mengkonfigurasi senarai hitam dan putih dalam nginx kaedah.

1. Kaedah pertama: benarkan, nafikan

Arahan penafian dan benarkan milik ngx_http_access_module, nginx memuatkan modul ini secara lalai, supaya ia boleh digunakan secara langsung.

Kaedah ini adalah yang paling mudah dan langsung. Sediakan serupa dengan firewall iptable, gunakan kaedah:

Tambahkan terus pada fail konfigurasi:

#白名单设置，allow后面为可访问IP 
location / {
     allow 123.13.123.12;
     allow 23.53.32.1/100;
     deny  all;
}

#黑名单设置，deny后面接限制的IP，为什么不加allow all? 因为这个默认是开启的 
location / {
     deny 123.13.123.12;
}

#白名单，特定目录访问限制
location /tree/list {
     allow 123.13.123.12;
     deny  all;
}

atau konfigurasikan senarai putih dengan membaca fail IP

location /{
    include /home/whitelist.conf;
    #默认位置路径为/etc/nginx/ 下，
    #如直接写include whitelist.conf，则只需要在/etc/nginx目录下创建whitelist.conf
    deny all;
}

dan buatnya dalam direktori /home/ whitelist.conf, dan tulis IP yang perlu ditambah pada senarai putih Selepas penambahan selesai, lihat yang berikut:

cat /home/whitelist.conf

#白名单IP
allow 10.1.1.10;
allow 10.1.1.11;

Tetapan senarai putih selesai dan kaedah tetapan senarai hitam. adalah sama.

2: Kaedah kedua, ngx_http_geo_module

Secara lalai, modul ini biasanya ditambahkan pada nginx, ngx_http_geo_module: dokumen rasmi, parameter perlu ditetapkan dalam modul http.

Modul ini boleh menetapkan sekatan IP dan sekatan negara dan wilayah. Lokasi boleh berada di luar modul pelayan.

Contoh sintaks:

Tambah fail konfigurasi terus

geo $ip_list {
    default 0;
    #设置默认值为0
    192.168.1.0/24 1;
    10.1.0.0/16    1;
}
server {
    listen       8081;
    server_name  192.168.152.100;
    
    location / {
        root   /var/www/test;
		index  index.html index.htm index.php;
		if ( $ip_list = 0 ) {
		#判断默认值，如果值为0，可访问，这时上面添加的IP为黑名单。
		#白名单，将设置$ip_list = 1，这时上面添加的IP为白名单。
		proxy_pass http://192.168.152.100:8081;
    }

Anda juga boleh membaca konfigurasi IP fail

geo $ip_list {
    default 0;
    #设置默认值为0
    include ip_white.conf;
}
server {
    listen       8081;
    server_name  192.168.152.100;
    
    location / {
        root   /var/www/test;
		index  index.html index.htm index.php;
		if ( $ip_list = 0 ) {
			return 403;
			#限制的IP返回值为403，也可以设置为503，504其他值。
			#建议设置503，504这样返回的页面不会暴露nginx相关信息，限制的IP看到的信息只显示服务器错误，无法判断真正原因。
    }

untuk mencipta ip_list dalam /etc /nginx directory .conf, selepas menambah IP, lihat yang berikut:

cat /etc/nginx/ip_list.conf

192.168.152.1 1;
192.168.150.0/24 1;

Apabila tetapan selesai, fail senarai IP ip_list.conf akan digunakan sebagai senarai putih Jika IP yang diminta tiada dalam senarai, halaman 403 akan dikembalikan terus. Kaedah tetapan senarai hitam adalah sama.

3. ngx_http_geo_module pengimbangan beban (sambungan)

ngx_http_geo_module, modul juga boleh digunakan untuk pengimbangan beban, seperti kluster web dengan pelayan di kawasan yang berbeza, segmen IP di rantau tertentu, memuatkan mengimbangi untuk mengakses Pelayan di rantau tertentu. Cara yang sama ialah menambah nilai tersuai di belakang IP Nilai ini tidak terhad kepada nombor, tetapi huruf juga boleh digunakan, seperti AS, CN, dll.

Contoh:

Jika tiga pelayan: 122.11.11.11, 133.11.12.22, 144.11.11.33

geo $country {
    default default;
    111.11.11.0/24   uk;
    #IP段定义值uk
    111.11.12.0/24   us;
    #IP段定义值us
    }
upstream  uk.server {
    erver 122.11.11.11:9090;
    #定义值uk的IP直接访问此服务器
} 

upstream  us.server {
    server 133.11.12.22:9090;
    #定义值us的IP直接访问此服务器
}

upstream  default.server {
    server 144.11.11.33:9090;
    #默认的定义值default的IP直接访问此服务器
}
 
server {
    listen    9090;
    server_name 144.11.11.33;

    location / {
      root  /var/www/html/;
      index index.html index.htm;
     }
 }

Kemudian

><> Hadkan wilayah akses

Sesetengah perkhidmatan pihak ketiga seperti cloudflare juga menyediakan pilihan tetapan untuk menjadikan tetapan peraturan tembok api lebih mudah. Di sini kita bercakap tentang cara menyediakan nginx.

1: Pasang modul ngx_http_geoip_module

ngx_http_geoip_module: Dokumen rasmi, parameter perlu ditetapkan dalam modul http.

nginx tidak membina modul ini secara lalai, ia harus didayakan menggunakan parameter konfigurasi --with-http_geoip_module.

Untuk sistem Ubuntu, pasang terus komponen nginx-extras, termasuk hampir semua modul.

sudo apt install nginx-extras

Untuk sistem centos, pasang modul.

yum install nginx-module-geoip

2. Muat turun pangkalan data IP

Modul ini bergantung pada pangkalan data IP Semua data dibaca dalam pangkalan data ini, dan perpustakaan ip (format dat) perlu dimuat turun.

MaxMind menyediakan pangkalan data geografi IP percuma Berita buruknya ialah MaxMind telah berhenti menyokong pangkalan data IP format dat.

Anda boleh menemui fail format dat di tempat lain, atau versi lama Sudah tentu, data itu mungkin bukan yang terkini dan mungkin mengandungi ralat.

Muat turun termasuk versi negara dan bandar bagi Ipv4 dan Ipv6.

#下载国家IP库，解压并移动到nginx配置文件目录，
sudo wget https://dl.miyuru.lk/geoip/maxmind/country/maxmind.dat.gz
gunzip maxmind.dat.gz
sudo mv maxmind.dat /etc/nginx/GeoCountry.dat

sudo wget https://dl.miyuru.lk/geoip/maxmind/city/maxmind.dat.gz
gunzip maxmind.dat.gz
sudo mv maxmind.dat /etc/nginx/GeoCity.dat

3. Konfigurasikan nginx

Contoh:

geoip_country /etc/nginx/GeoCountry.dat;
geoip_city /etc/nginx/GeoCity.dat;

server {
    listen  80;
    server_name 144.11.11.33;

    location / {
      root  /var/www/html/;
      index index.html index.htm;
      if ($geoip_country_code = CN) {
  			return 403;
 		#中国地区，拒绝访问。返回403页面
		}
  	}
 }

Di sini, tetapan infrastruktur serantau dan negara selesai.

Parameter lain Geoip:

Parameter berkaitan negara:

$geoip_country_code #Kod negara Inggeris dua aksara. Contohnya: CN, US
$geoip_country_code3 #Kod negara Inggeris tiga aksara. Contohnya: CHN, USA
$geoip_country_name #Nama Inggeris penuh negara itu. Contohnya: China, Amerika Syarikat
Parameter berkaitan bandar:
$geoip_city_country_code # juga merupakan kod negara Inggeris dua aksara.
$geoip_city_country_code3 #Sama seperti di atas
$geoip_city_country_name #Sama seperti di atas.
$geoip_region #Ini telah diuji sebagai nombor dua digit, seperti 02 untuk Hangzhou dan 23 untuk Shanghai. Walaubagaimanapun, tiada maklumat berkaitan yang ditemui saya harap rakan-rakan yang lebih tahu boleh meninggalkan pesanan.
$geoip_city #Nama Inggeris bandar itu. Contohnya: Hangzhou
$geoip_postal_code #Kod pos bandar. Selepas ujian, medan ini di China kosong
$geoip_city_continent_code #Saya tidak tahu untuk apa ia digunakan, tetapi ia nampaknya AS
$geoip_latitud di China #Latitud
$geoip_longitud #Longitud

Atas ialah kandungan terperinci Bagaimanakah tapak web menetapkan sekatan IP hitam/senarai putih dan sekatan akses IP negara dan bandar melalui nginx?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!