Nginx如何禁止某个IP或者ip段访问的配置方案

  • A+
所属分类:随笔杂谈

首先我们简单了解一下Nginx服务器,Nginx是一款轻量级的Web服务器、反向代理服务器及电子邮件(IMAP/POP3)代理服务器。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。本文主要介绍如何利用nginx允许和禁止某个IP或IP段访问,来实现防止采集和防止被攻击操作。

Nginx如何禁止某个IP或者ip段访问的配置方案

查找需要禁止的IP,具体命令如下:

[root@iZ256w2hluuZ ~]# awk '{print $1}' /usr/local/nginx/logs/access.log |sort |uniq -c|sort -n

access.log 是日志文件,显示结果左侧为访问次数,右侧为访问者IP,访问次数过多,并且IP不是蜘蛛爬虫的IP需要禁止掉,输出结果:


2048 5.188.211.40
2459 5.188.211.39
2655 121.41.74.148
2716 188.165.222.123
2858 5.188.211.62
...

nginx指令:

allow 语法:allow address | CIDR | unix: | all;

配置段:http, server, location, limit_except

允许某个ip或者一个ip段访问.如果指定unix:,那将允许socket的访问.注意:unix在1.5.1中新加入的功能,如果你的版本比这个低,请不要使用这个方法。

deny 语法:deny address | CIDR | unix: | all;

配置段:http, server, location, limit_except

禁止某个ip或者一个ip段访问.如果指定unix:,那将禁止socket的访问.注意:unix在1.5.1中新加入的功能,如果你的版本比这个低,请不要使用这个方法。

高级用法:屏蔽ip的配置文件既可以屏蔽单个ip,也可以屏蔽ip段,或者只允许某个ip或者某个ip段访问。
deny IP;  # 屏蔽单个ip访问
allow IP; # 允许单个ip访问
deny all; # 屏蔽所有ip访问
allow all; # 允许所有ip访问
deny 123.0.0.0/8;# 屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令
deny 124.45.0.0/16;# 屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令
deny 123.45.6.0/24;# 屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令

allow和deny使用简单实例代码如下:


location / {
deny  192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny  all;
}

上述实例只允许IPV4的10.1.1.0/16和192.168.1.0/24中出去192.168.1.1及IPV6中的2001:0db8::/32来访问,其他的客户端ip访问都是不允许的。

以下是文件形式允许或禁止某个IP或者IP段,新建blocksip.conf文件,增加如下内容:


allow 192.168.1.1;
deny all;

单独网站屏蔽IP的方法,把include blocksip.conf; 内容放到nginx配置对应的在server{}语句块。

所有网站屏蔽IP的方法,把include blocksip.conf; 内容放到nginx配置对应的在http {}语句块。

然后重启下nginx的服务:service nginx restart

Nginx允许和禁止某个IP或IP段的访问都建立在该访问可以正常通过iptable防火墙。当然,也可以把过滤出的ip直接加到iptables中,彻底拒绝该ip的所有请求。

eyuzhuji
小九

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: