Nginx网站使用CDN之后禁止用户真实IP访问的方法

做过面向公网 WEB 运维的苦逼们肯定见识过各种恶意扫描、拉取、注入等图谋不轨行为吧？对于直接对外的 WEB 服务器，我们可以直接通过 iptables 、 Nginx 的 deny 指令或者是程序来 ban 掉这些恶意请求。

而对于套了一层 CDN 或代理的网站，这些方法可能就失效了。尤其是个人网站，可能就一台 VPS，然后套一个免费的 CDN 就行走在互联网了。并不是每个 CDN 都能精准的拦截各种恶意请求的，更闹心的是很多 CDN 还不支持用户在 CDN 上添加 BAN 规则，比如腾讯云 CDN。。。

因此，就有了本文的折腾分享。

一、真假难辨
如何禁止访问，我们先了解下常见的 3 种网站访问模式：

①、用户直接访问对外服务的普通网站
浏览器 --> DNS 解析 --> WEB 数据处理 --> 数据吐到浏览器渲染展示

②、用户访问使用了 CDN 的网站
浏览器 --> DNS 解析 --> CDN 节点 --> WEB 数据处理 --> 数据吐到浏览器渲染展示

③、用户通过代理上网访问了我们的网站
浏览器 --> 代理上网 --> DNS 解析 --> 上述 2 种模式均可能

对于第一种模式，我要禁止这个用户的访问很简单，可以直接通过 iptables 或者 Nginx 的 deny 指令来禁止均可：

iptabels：
iptables -I INPUT -s 用户 ip -j DROP

Nginx 的 deny 指令：
语法: deny address | CIDR | unix: | all;
默认值: —
配置段: http, server, location, limit_except
顺序：从上往下
Demo：
location / {
deny 用户 IP 或 IP 段;
}

但对于后面 2 种模式就无能为力了，因为 iptables 和 deny 都只能针对直连 IP，而后面 2 种模式中，WEB 服务器直连 IP 是 CDN 节点或者代理服务器，此时使用 iptable 或 deny 就只能把 CDN 节点或代理 IP 给封了，可能误杀一大片正常用户了，而真正的罪魁祸首轻轻松松换一个代理 IP 又能继续请求了。

那该怎么办？

二、火眼金睛
如果长期关注张戈博客的朋友，应该还记得之前转载过一篇分享 Nginx 在 CDN 加速之后，获取用户真实 IP 做并发访问限制的方法。说明 Nginx 还是可以实实在在的拿到用户真实 IP 地址的，那么事情就好办了。

要拿到用户真实 IP，只要在 Nginx 的 http 模块内加入如下配置：

#获取用户真实IP，并赋值给变量$clientRealIP

map $http_x_forwarded_for  $clientRealIp {""      $remote_addr;~^(?P<firstAddr>[0-9\.]+),?.*$  $firstAddr;
}

那么，$clientRealIP 就是用户真实 IP 了，其实就是匹配了 $http_x_forwarded_for 的第一个值，具体原理前文也简单分享过：

其实，当一个 CDN 或者透明代理服务器把用户的请求转到后面服务器的时候，这个 CDN 服务器会在 Http 的头中加入一个记录
X-Forwarded-For : 用户 IP, 代理服务器 IP
如果中间经历了不止一个代理服务器，这个记录会是这样
X-Forwarded-For : 用户 IP, 代理服务器 1-IP, 代理服务器 2-IP, 代理服务器 3-IP, ….

可以看到经过好多层代理之后，用户的真实 IP 在第一个位置，后面会跟一串中间代理服务器的 IP 地址，从这里取到用户真实的 IP 地址，针对这个 IP 地址做限制就可以了。

而且代码中还配合使用了 remoteaddr，因此remote_addr，因此remoteaddr，因此clientRealIP 还能兼容上文中第①种直接访问模式，不像 $http_x_forwarded_for 在直接访问模式中将会是空值！

所以，$clientRealIP 还能配置到 Nginx 日志格式中，替代传统的 $remote_addr 使用，推荐！

三、隔山打牛
既然已经拿到了真实 IP，却不能使用 iptables 和 deny 指令，是否无力感油然而生？

哈哈，在强大的 Nginx 面前只要想得到，你就做得到！通过对 $clientRealIP 这个变量的判断，Nginx 就能实现隔山打牛的目的，而且规则简单易懂：

#如果真实IP为 121.42.0.18、121.42.0.19，那么返回403

if ($clientRealIp ~* "121.42.0.18|121.42.0.19") {#如果你的nginx安装了echo模块，还能如下输出语言，狠狠的发泄你的不满(但不兼容返回403,试试200吧)！#add_header Content-Type text/plain;#echo "son of a bitch,you mother fucker,go fuck yourself!";return 403;break;}

把这个保存为 deny_ip.conf ，上传到 Nginx 的 conf 文件夹，然后在要生效的网站 server 模块中引入这个配置文件，并 Reload 重载 Nginx 即可生效：

#禁止某些用户访问 include deny_ip.conf;
如果再想添加其他要禁止的 IP，只需要编辑这个文件，插入要禁止的 IP，使用分隔符 | 隔开即可，记得每次修改都需要 reload 重载 Nginx 才能生效。

Nginx网站使用CDN之后禁止用户真实IP访问的方法相关推荐

Nginx网站使用CDN之后禁止用户真实IP限制访问方法
做过面向公网WEB运维的苦逼们肯定见识过各种恶意扫描.拉取.注入等图谋不轨行为吧?对于直接对外的WEB服务器,我们可以直接通过 iptables . Nginx 的deny指令或者是程序来ban掉这些 ...
nginx做负载CDN加速获取端真实ip
nginx做负载CDN加速获取端真实ip在不用cdn的情况下,nginx做负载获取真实ip时,nginx配置如下:Java代码 proxy_set_header Host $host; proxy_s ...
使用nginx代理的情况下获取用户真实IP
##1.背景知识 1.1. 前提知识点: 还有nginx中的几个变量: remote_addr 代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站 ...
nginx利用反向代理实现获取用户真实ip
我们访问互联网上的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略.这样在服务端拿到的客户端IP ...
Nginx使用$remote_addr获取不到用户真实IP解决
Nginx配置 location / {proxy_set_header Host $host;proxy_set_header X-real-ip $remote_addr;proxy_set_he ...
php获取nginx真实IP,nginx proxy获取用户真实ip
在搭建nginx proxy的时候,要获取用户的真实ip一般的做法是修改网站代码来获取,这里给大家介绍一种不修改网站代码就可以获取到用户真实ip的方法. 系统:centos 5.9 需要的软件包:Ht ...
php获取用户真实ip_开启CDN后，PHP获取用户真实IP的方法
因为近日需要几个小项目上CDN,但上CDN的同时,要获取到用户的真实IP地址.虽然网上有很多关于网站在CDN加速的情况下,PHP获取用户真实IP地址的方法,但总觉的不可靠,还是自己测试一下最好. PH ...
CDN下nginx获取用户真实IP地址
为什么80%的码农都做不了架构师?>>> 随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能 ...
nginx 如何配置来获取用户真实IP
##1.背景知识 1.1. 前提知识点: 还有nginx中的几个变量: remote_addr 代表客户端的IP,但它的值不是由客户端提供的,而是服务端根据客户端的ip指定的,当你的浏览器访问某个网站 ...
k8s 集群 Ingress Nginx传递用户真实IP问题
业务应用经常有需要用到用户真实ip的场景,比如:异地登录的风险预警.访问用户分布统计等功能等.当有这种需求的时候,在业务上容器过程中,如果用到ingress就要注意配置了.通常,用户ip的传递依靠的是 ...

Nginx网站使用CDN之后禁止用户真实IP访问的方法

Nginx网站使用CDN之后禁止用户真实IP访问的方法相关推荐

最新文章

热门文章