首页 > 系统相关 >在 NGINX 中根据用户真实 IP 进行限制

在 NGINX 中根据用户真实 IP 进行限制

时间:2023-01-13 11:38:50浏览次数:54  
标签:addr IP 用户 192.168 NGINX add proxy forwarded

需求

需要根据用户的真实 IP 进行限制, 但是 NGINX 前边还有个 F5, 导致 deny 指令不生效.

阻止用户的真实 IP 不是 192.168.14.*192.168.15.* 的访问请求.

实现

最简单的实现如下:

:notebook: 前置条件:

需要 nginx 前边的 load balancer 设备(如 F5)开启 X-Forwarded-For 支持.

proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

if ($proxy_add_x_forwarded_for !~ "192\.168\.1[45]")  {
    return 403;
}      

说明如下:

  • proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 获取请求头 X-Forwarded-For 中的用户真实 IP, 并附加到 $proxy_add_x_forwarded_for 变量
  • if...
    • (...) 变量 $proxy_add_x_forwarded_for 不匹配正则 192\.168\.1[45] (即 192.168.14.*192.168.15.*)
    • return 403, 如果上边的条件满足, 返回 403
    • 即: 如果真实IP不是 192.168.14.*192.168.15.*, 返回403.

如果有更复杂的需求, 可以参考这个示例:

proxy_set_header HOST $http_host;
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

if ($http_host ~ "yourdomain.hypernode.io:8443")  {
  set $block_me_now A;
}
 
if ($proxy_add_x_forwarded_for != YOURIP) {
  set $block_me_now "${block_me_now}B";
}
 
 
if ($block_me_now = AB) {
    return 403;
    break;
}

为啥 deny 配置不起作用?

:thinking: 疑问: 为啥以下的配置不起作用?

allow 192.168.14.0/24;
allow 192.168.15.0/24;
deny all;

根据nginx官方文档, deny 指令是根据「client address」进行限制的.

:notebook: 引用:

The ngx_http_access_module module allows limiting access to certain client addresses.

而「client address」对应的变量是: $remote_addr

:notebook: 引用:

$remote_addr: ​ client address

关于 $remote_addr:

是 nginx 与客户端进行 TCP 连接过程中,获得的客户端真实地址. Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求

remote_addr 代表客户端的 IP,但它的值不是由客户端提供的,而是服务端根据客户端的 ip 指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的 web 服务器(Nginx,Apache 等)就会把 remote_addr 设为你的机器IP,如果你用了某个代理(其实 F5 就是这个反向代理),那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样 web 服务器就会把 remote_addr 设为这台代理机器的 IP。

但是实际某些特殊场景中,我们即使有代理,也需要将 $remote_addr 设置为真实的用户 IP,以便记录在日志当中,当然 nginx 是有这个功能,但是需要编译的时候添加 --with-http_realip_module 这个模块,默认是没有安装的。(我也没有安装)

标签:addr,IP,用户,192.168,NGINX,add,proxy,forwarded
From: https://blog.51cto.com/ewhisper/6005836

相关文章

  • nginx错误日志级别
    日志级别高级别包括低级别日志,例如,如果您将日志级别设置为warn,则Nginx还将记录error,crit,alert和emerg消息。未指定log_level参数时,默认为errordebug-调试消息......
  • 在 NGINX 中根据用户真实 IP 进行限制
    需求需要根据用户的真实IP进行限制,但是NGINX前边还有个F5,导致deny指令不生效.阻止用户的真实IP不是192.168.14.*和192.168.15.*的访问请求.实现最简......
  • 查看 内网所有ip
    首先看你的主机ip,ifconfigwlp2s0:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inet192.168.3.7netmask255.255.255.0broadcast192.168.3.255......
  • 小程序用户登录架构设计
      1.背景上一篇文章《小程序静默登录方案设计》提到过,小程序可以通过微信官方提供的登录能力方便地获取微信提供的用户身份标识,快速建立小程序内的用户体系。即......
  • JavaScript 并发模型
    JavaScript并发模型JavaScript是一种单线程语言,这意味着它只有一个执行线程。这意味着,当JavaScript代码正在运行时,它会阻塞其他所有代码的执行。这种模型称为单线程模型......
  • 从 Nginx Ingress 窥探云原生网关选型
    现今有越来越多的企业开始采纳云原生理念进行应用架构转型。而K8s和微服务是云原生的两大支柱,随着云原生浪潮而被广泛应用。 对多数应用而言,提供对外服务的使命并不......
  • 从 Nginx Ingress 窥探云原生网关选型
    现今有越来越多的企业开始采纳云原生理念进行应用架构转型。而K8s和微服务是云原生的两大支柱,随着云原生浪潮而被广泛应用。 对多数应用而言,提供对外服务的使命并不......
  • 来自StateOfJS调查:2022年JavaScript生态圈趋势报告(前端早读课)
    原文我这里记录些觉得有趣的。Promise.allSettled()完成所有输入的方法,nomatterwhat,返回对应的状态和值/原因,这对想知道所有返回状态的业务很好用;使用async/await没法......
  • 从 Nginx Ingress 窥探云原生网关选型
    现今有越来越多的企业开始采纳云原生理念进行应用架构转型。而K8s和微服务是云原生的两大支柱,随着云原生浪潮而被广泛应用。 对多数应用而言,提供对外服务的使命并不......
  • 代码随想录算法训练营第二十八天 | ● 93.复原IP地址 ● 78.子集 ● 90.子集II
    ●93.复原IP地址●78.子集●90.子集II详细布置93.复原IP地址本期本来是很有难度的,不过大家做完分割回文串之后,本题就容易很多了题目链接/文章讲解:https......