码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • nginx利用x_forwarded_for实现黑名单访问策略


    目录

    • 1、介绍
    • 2、编写IP黑名单配置文件
    • 3、使Nginx对IP黑名单起效果
    • 4、重载Nginx

    白名单配置参考: https://blog.csdn.net/weixin_44953227/article/details/126227433


    1、介绍

    nginx的remote_addr 的地址是防护墙、F5的地址, 客户端真实的IP地址是在 x_forwarded_for中的。

    该方案是在每个域名中判断一个 x_forwarded_for 中是否有系统要拒绝的IP地址,如果有就返回400,不再往后代理。

    2、编写IP黑名单配置文件

    在Nginx的安装目录下,添加黑名单文件 x_forwarded_for_deny.conf

    编写例子如下:

    map $http_x_forwarded_for $x_forwarded_for_allowed {
        default allow;
        # 拒绝一个IP地址
        #~\s*192.168.0.100$ deny;
        ~\s*192.168.0.100[,]*.*$ deny;
        # 拒绝一个网段IP地址
        ~\s*192.168.0.\d+$ deny;
        # 下面继续列出想要的IP地址
        # ....
        # 也可以额外添加黑名单的文件
        include blockip*.conf;
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12

    额外添加黑名单的文件 blockip.conf

    ~\s*192.168.0.98$ deny;
    ~\s*192.168.0.99$ deny;
    ~\s*8.8.8.8$ deny;
    
    • 1
    • 2
    • 3

    提醒:这个文件中即使没有一个IP地址, 系统访问也还是正常的。

    3、使Nginx对IP黑名单起效果

    编辑Nginx的nginx.conf文件, 使NginxIP黑名单起效果:

    #找到http节点:
     
    http {
        # ...
        # 白名单的相关配置文件引入
        # ...
         
        # 引入黑名单配置的文件
        include x_forwarded_for_deny.conf;
     
        # 找到对应端口的server节点
        server {
            listen 80;
            
            #...
            #每个域名的location中需要添加判断
            #location / {
            #if ( $allowed = "deny" ) { return 400; }
    	    #    proxy_pass    .....;
    	    #}
            #...
     
            # 白名单的相关配置
            # ....
     
            #在白名单之后,添加黑名单的配置
            if ( $x_forwarded_for_allowed = "deny" ) {
                return 400;
            }
     
     
        }
     
    }
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34

    4、重载Nginx

    cd nginx的安装目录

    ./sbin/nginx -s reload

    拒绝你设置好的IP地址访问, nginx access日志用会有拒绝的IP地址日志,放回状态是400。

    在黑名单的IP地址的电脑中,访问系统, 返回了错误400的页面。

  • 相关阅读:
    Linux下磁盘备份、文件备份和定时备份命令指南
    Clion 2019 搭配 Visual C++ Build Tools 搭建MSVC开发环境
    双软认证的政策解读、好处及申报指南
    PagerDuty帮助CTC改变远程世界的运营
    JDK17 ReentrantLock 简述 lock()、unLock()
    x86寻址和保护模式笔记
    Mysql联合索引和最左匹配例子说明
    一文看懂推荐系统:排序02:Multi-gate Mixture-of-Experts (MMoE)
    公司招了一个腾讯拿30K的人,让我见识到了什么是天花板···
    数据特征选择 | Lasso特征选择(Python)
  • 原文地址:https://blog.csdn.net/weixin_44953227/article/details/126468352
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号