写点什么

在 NGINX 中根据用户真实 IP 限制访问

用户头像
东风微鸣
关注
发布于: 2021 年 01 月 06 日
在NGINX中根据用户真实IP限制访问

需求

需要根据用户的真实 IP 限制访问, 但是 NGINX 前边还有个 F5, 导致deny指令不生效.


阻止用户的真实 IP 不是192.168.14.*192.168.15.*的访问请求.

实现

📓 备注:

关于deny指令的使用, 请参见我的另一篇文章: NGINX 实战手册-安全-访问控制


最简单的实现如下:

📓 前置条件:

需要 nginx 前边的 load balancer 设备(如 F5)开启X-Forwarded-For支持.


 proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;  if ($proxy_add_x_forwarded_for !~ "192\.168\.1[45]") {     return 403; } }      
复制代码


说明如下:

  • proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 获取请求头X-Forwarded-For中的用户真实 IP, 并附加到$proxy_add_x_forwarded_for变量

  • if...

(...) 变量$proxy_add_x_forwarded_for 不匹配正则192\.168\.1[45] (即192.168.14.*192.168.15.*)

return 403, 如果上边的条件满足, 返回 403

即: 如果真实 IP 不是192.168.14.*192.168.15.*, 返回 403.


如果有更复杂的需求, 可以参考这个示例:

proxy_set_header HOST $http_host; proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;  if ($http_host ~ "yourdomain.hypernode.io:8443") {   set $block_me_now A; }  if ($proxy_add_x_forwarded_for != YOURIP) {   set $block_me_now "${block_me_now}B"; }   if ($block_me_now = AB) {     return 403;     break; }
复制代码

为啥deny配置不起作用?

🤔疑问: 为啥以下的配置不起作用?

 allow 192.168.14.0/24; allow 192.168.15.0/24; deny all;
复制代码


根据 nginx 官方文档, deny指令是根据" client address"进行限制的.


📓 引用:

The ngx_http_access_module module allows limiting access to certain client addresses.


而" client address" 对应的变量是: $remote_addr

📓 引用:

$remote_addr:

   client address


🤔那么, 可不可以直接通过修改变量$remote_addr, 然后通过配置deny来实现? 如下:

 proxy_set_header   X-Forwarded-For $remote_addr;  allow 192.168.14.0/24; allow 192.168.15.0/24; deny all;
复制代码

答案是: 不可以.


解释如下:

关于$remote_addr:

是 nginx 与客户端进行 TCP 连接过程中,获得的客户端真实地址. Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求


remote_addr 代表客户端的 IP,但它的值不是由客户端提供的,而是服务端根据客户端的 ip 指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的 web 服务器(Nginx,Apache 等)就会把 remote_addr 设为你的机器 IP,如果你用了某个代理(其实 F5 就是个反向代理),那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样 web 服务器就会把 remote_addr 设为这台代理机器的 IP。


但是实际场景中,我们即使有代理,也需要将$remote_addr设置为真实的用户 IP,以便记录在日志当中,当然 nginx 是有这个功能,但是需要编译的时候添加--with-http_realip_module 这个模块,默认是没有安装的。(我也没有安装)


用户头像

东风微鸣

关注

资源共享, 天下为公! 2018.11.08 加入

APM行业认证专家, 容器技术认证专家. 现任中国大地保险PAAS平台架构师. 公众号:东风微鸣技术博客

评论

发布
暂无评论
在NGINX中根据用户真实IP限制访问