如何给Nginx配置访问IP白名单-Toy模板网

这篇具有很好参考价值的文章主要介绍了如何给Nginx配置访问IP白名单。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

一、Nginx配置访问IP白名单

有时部署的应用需要只允许某些特定的IP能够访问，其他IP不允许访问，这时，就要设置访问白名单；

设置访问白名单有多种方式：
1.通过网络防火墙配置，例如阿里云/华为云管理平台
2.通过服务器防火墙配置,iptables
3.通过nginx配置访问分发限制
4.通过nginx的allow、deny参数进行访问限制（本文使用此方案）

Nginx白名单使用allow和deny来控制，该配置可以添加在http段，也可以server、location中

如果想增加允许访问的IP范围，例如10.10.10.0~10.10.10.255，需要使用CIDR格式表示你的IP范围，在Nginx中默认仅允许IP地址和CIDR格式，CIDR转IPv4网站：https://www.ipaddressguide.com/cidr

示例一
nginx所有代理生效，仅允许192.168.1.6的访问，其他所有IP均不能访问。

http {
......
allow 192.168.1.6;
deny all;
......
}

示例二
nginx某个端口server代理生效，仅允许192.168.1.6和192.168.1.6的访问，其他所有IP均不能访问。

server {
......
allow 192.168.1.6;
allow 192.168.1.8;
deny all;
......
}

示例三
nginx某个location代理生效，仅允许192.168.1.6和192.168.2.0~192.168.2.255网段的访问，其他所有IP均不能访问。

location /screen {
......
allow 192.168.1.6;
allow 192.168.2.0/24;
deny all;
......
}

修改完成后，重载nginx配置文件生效：sbin/nginx -s reload

注意：如果本机也需要访问这个代理，记得加上allow 127.0.0.1;

配套操作：互联网上，一般访问端client的IP都不是本机的局域网IP，而是运营商的出口IP，需要注意；

查询方法：百度或者搜狗，输入关键词“IP”，然后点击“IP地址查询”相关搜索结果，即可查询到自己的IP。
不确定或者不能访问外网的话，就在nginx的报错日志里找，logs/error.log，能找到访问此nginx的IP。

二、Nginx添加白名单的四种方式

1）添加防火墙白名单

针对nginx域名配置所启用的端口(比如80端口)在iptables里做白名单，比如只允许100.110.15.16、100.110.15.17、100.110.15.18访问.但是这样就把nginx的所有80端口的域名访问都做了限制，范围比较大！

nginx设置ip白名单,nginx,tcp/ip,运维

2）利用$remote_addr参数进行访问的分发限制

如果只是针对nginx下的某一个域名进行访问的白名单限制，那么可以在nginx的配置文件里进行设置，如下：

##白名单设置，只允许下面三个来源ip的客户端以及本地能访问该站。主要是下面这三行

if ($remote_addr !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {

rewrite ^.*$ /maintence.php last;

}

nginx设置ip白名单,nginx,tcp/ip,运维

3）也可以使用$http_x_forwarded_for参数进行访问的分发限制，如下：

##白名单设置，只允许下面三个来源ip的客户端以及本地能访问该站。

if ($http_x_forwarded_for !~ ^(100.110.15.16|100.110.15.17|100.110.15.18|127.0.0.1)) {

rewrite ^.*$ /maintence.php last;

}

nginx设置ip白名单,nginx,tcp/ip,运维

4）还可以利用nginx的allow、deny参数进行访问限制

##白名单设置，只允许下面三个来源ip的客户端以及本地能访问该站。

allow 100.110.15.16;

allow 100.110.15.17;

allow 100.110.15.18;

allow 127.0.0.1;

deny all;

nginx设置ip白名单,nginx,tcp/ip,运维

三、Nginx根据用户IP设置访问跳转

第一种方法

根据$remote_addr客户端IP地址判断，判断成功即返回301跳转，可以写正则，如果有大量不规则IP就很头疼了。

if ($remote_addr = 192.168.1.123) {
    return 301 https://blog.whsir.com;
}

第二种方法

nginx通过lua实现，这方法是孔大神给的，将需要做301跳转的IP，直接写到/tmp/ip文件中，支持网段，一行一个，添加后不需要重启nginx，即时生效。

注意nginx要编译lua模块才可以使用，我的whsir一键包nginx已集成lua。

rpm -ivh http://mirrors.whsir.com/centos/whsir-release-centos.noarch.rpm

yum install wnginx -y

set_by_lua $info '

    local opt = ngx.var.remote_addr

    local file = io.popen("ip=" ..opt.. ";if grep -q $ip /tmp/ip;then echo $ip; exit 0;fi ; for net in $(grep / /tmp/ip);do [ $(ipcalc -n $ip/${net#*/}) = $(ipcalc -n $net) ] && echo $ip && break; done")

    content1 = file:read("*l")

    return content1

';



if ( $info = $remote_addr) {

    return 301 https://blog.whsir.com;

}

四、nginx配置IP白名单的详细步骤

分析nginx访问日志，有哪些IP访问过nginx。

命令参考：

awk '{print $1}' logs/access.log | sort | uniq -c | sort -nr -k1

输出的效果案例：

1053 192.168.3.15
893 192.168.3.10
818 192.168.0.8

1、添加IP白名单文件

在nginx目录的 conf 中添加文件 ip.conf，注意白名单文件不用添加任何注释，可以有空行

vi ip.conf

192.168.3.11 1;

192.168.3.10 1;
192.168.0.112 1;

2、配置nginx.conf
编辑http节点：

http {

    # ...

    # geo IP whitelist

    geo $remote_addr $ip_whitelist {

       default 0;

       include ip.conf;

    }

    # ...

}

编辑server节点：

server {

    listen       80;

    # ...

    # IP whitelist

    set $whitelist_flag 1;

    if ( $ip_whitelist != 1 ) {

       set $whitelist_flag "${whitelist_flag}0";

    }

    if ( $request_uri !~* '/warn_navigate_page' ) {

       set $whitelist_flag "${whitelist_flag}0";

    }

    if ( $whitelist_flag = "100" ) {

       #return 403;

       rewrite ^(.*)$ $scheme://$host:$server_port/warn_navigate_page break; #白名单的提示页面

    }

    # ...

}

也可以在location节点中编辑，示例：

编辑location节点：

location /test {

    proxy_pass  http://IP/test;

    # ...

    # IP whitelist

    set $whitelist_flag 1;

    if ( $ip_whitelist != 1 ) {

            set $whitelist_flag "${whitelist_flag}0";

    }

    if ( $request_uri !~* '/warn_navigate_page' ) {

            set $whitelist_flag "${whitelist_flag}0";

    }

    if ( $whitelist_flag = "100" ) {

            #return 403;

            rewrite ^(.*)$ $scheme://$host:$server_port/warn_navigate_page break; #白名单的提示页面

    }

  

    # ...

}

添加导航的提示页 /warn_navigate_page

server {

    listen       80;

    # ...

    # 白名单的提示导航页面

    location /warn_navigate_page {

        root /home/java/nginx/bizapp/warn_navigate_page;

        index  warn_navigate_page.html warn_navigate_page.htm;

        rewrite ^(.*)$ /warn_navigate_page.html break;

    }

}

3、编辑白名单的提示导航页面
在 /home/java/nginx/bizapp/warn_navigate_page 中编辑页面warn_navigate_page.html

参考：

<!DOCTYPE html>

<html lang="en">

<head>

    <meta charset="utf-8">

    <meta name="viewport" content="width=device-width,initial-scale=1.0,maximum-scale=1.0,user-scalable=no">

    <meta content="yes" name="apple-mobile-web-app-capable">

    <meta content="black" name="apple-mobile-web-app-status-bar-style">

    <meta content="telephone=no" name="format-detection">

    <meta content="email=no" name="format-detection">

    <title>系统通知</title>

    <style type="text/css">

        body {

            background: url(https://www.baidu.com/img/PCtm_d9c8750bed0b3c7d089fa7d55720d6cf.png) no-repeat;

            background-size: 100% 100%;

            background-attachment: fixed;

        }

    </style>

</head>

<body>

    <div>

        <pre>                                                                                     【通知公告】

        尊敬的用户您好，系统已不提供IP地址直接访问，请联系管理员添加白名单。互联网的域名访问地址：<a href="https://www.baidu.com">跳转https://www.weidianyuedu.com</a>

        </pre>

    </div>

</body>

<script type="text/javascript">

</script>

</html>

参考：https://blog.csdn.net/wanzhong11/article/details/131396910

https://blog.csdn.net/hdxx2022/article/details/132020861

https://blog.whsir.com/post-4430.html文章来源地址https://www.toymoban.com/news/detail-730898.html

到了这里，关于如何给Nginx配置访问IP白名单的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！