内网畅外网墙--再聊Nginx访问权限管理
接上回,Nginx访问权限管理
low address bits of 192.168.101.0/16 are meaningless in /usr/local/nginx/conf/nginx.conf:122
location / {allow 192.168.101.0/24;deny all;...
}
网关
网关在网络层以上实现网络互连,是复杂的网络互连设备。网关既可以用于广域网互连,也可以用于局域网互连。
A:IP地址范围 192.168.1.1~192. 168.1.254,子网掩码 255.255.255.0
B:IP地址范围 192.168.2.1~192. 168.2.254,子网掩码 255.255.255.0
计算所得(见下述计算方式):A 网络地址为 192.168.1.0,B网络地址为 192.168.2.0。
两个网络中的主机处在不同的网络里,而要实现这两个网络之间的通信,则必须通过网关。如果网络A中的主机发现数据包的目的主机不在本地网络中,就把数据包转发给它自己的网关,再由网关转发给网络B的网关,网络B的网关再转发给网络B的某个主机。
网关 pk. 路由器
- 网关:一个大概念,不具体特指一类产品,只要连接两个不同的网络的设备都可以叫网关
- 路由器:连接两个或多个网络的硬件设备,路由器很显然能够实现网关的功能
- 缺省网关:是子网与外网连接的设备,通常是一个路由器。PC本身不具备路由寻址能力,所以PC要把所有的IP包发送到一个默认的中转地址上面进行转发,也就是默认网关。 这个网关可以在路由器上,可以在三层交换机上,可以在防火墙上,可以在服务器上,所以和物理的设备无关
网络地址
在计算机领域中,网络就是用物理链路将各个孤立的工作站或主机相连在一起,组成数据链路,从而达到资源共享和通信的目的。网络地址(Network address)则是互联网上的节点在网络中具有的逻辑地址,可对节点进行寻址。
IP地址
IP地址,是指互联网协议地址,为互联网上的每一个网络和每一台主机分配一个逻辑地址,以此来屏蔽物理地址的差异。IP地址=网络地址+主机地址
IP地址编址方式
类别 | 最大网络数 | IP地址范围 | 默认掩码 | 单个网段最大主机数 | 私有IP地址范围 |
---|---|---|---|---|---|
A | 126(27−22^7-227−2) | 1.0.0.1-126.255.255.254 | 255.0.0.0/8 | 16777214 | 10.0.0.0-10.255.255.255 |
B | 16384(2142^{14}214) | 128.0.0.0-191.255.255.255 | 255.255.0.0/16 | 65534 | 172.16.0.0-172.31.255.255 |
C | 2097152(2212^{21}221) | 192.0.0.0-223.255.255.255 | 255.255.255.0/24 | 254 | 192.168.0.0-192.168.255.255 |
- D、E类为特殊地址;D用于组播、E用于科研保留。
子网掩码
子网掩码,是一种用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。子网掩码不能单独存在,它必须结合IP地址一起使用。
- 通过子网掩码,就可以判断两个IP在不在一个局域网内部
- 子网掩码可以看出有多少位是网络号,有多少位是主机号
通过IP地址和子网掩码计算网络地址
IP地址:192.168.101.222 (11000000 10101000 01100101 11011110)
子网掩码:255.255.255.0 (11111111 11111111 11111111 00000000)
11000000101010000110010111011110&11111111111111111111111100000000−−−−−−−−−−−−−−−−−1100000010101000011001010000000011000000 10101000 01100101 11011110 \\ \& 11111111 11111111 11111111 00000000 \\ -----------------\\ 11000000 10101000 01100101 00000000 11000000101010000110010111011110&11111111111111111111111100000000−−−−−−−−−−−−−−−−−11000000101010000110010100000000
网络地址:192.168.101.0(11000000 10101000 01100101 00000000)上述计算所得
主机地址:222(11011110)后8位
0/24
是啥意思?
192.168.101.0/24 (11000000 10101000 01100101 00000000)
24 标示了我们的网络号的位数(也就是子网掩码中前多少号为1),8(32-24)是主机号位数,IP地址=网络地址+主机地址。
说明 | 结果 |
---|---|
后8位全0,是子网网络地址(00000000) | 192.168.101.0 |
后8位全1,是子网广播地址(11111111) | 192.168.101.255 |
剩余为有效可分配地址(00000001–11111110 ) | 192.168.101.1-192.168.101.254 |
- 网络地址(Network address)是互联网上的节点在网络中具有的逻辑地址,可对节点进行寻址「见上述」。
- 广播地址(Broadcast Address)是专门用于同时向网络中所有工作站进行发送的一个地址
回到开始
文章开头,大家看到的那段配置,是对资源访问做限制所配置,基本诉求为:内网可以直接访问,外网需要通过账户密码访问。详见:Nginx 访问权限管理,为了满足场景,我们需要通过 ngx_http_auth_basic_module 来进行控制
通过 IP地址 & 子网掩码
可得知网络地址为 192.168.101.0,网络位数为 24。因此得出如下配置:
location / {allow 192.168.101.0/24;deny all;...
}
IP 为 192.168.101.x 的都可以直接访问,其他 IP 地址需要账号和密码验证。
当然为了可以更大范围的内网允许访问(办公室多内网段:0/101/200/201 => 使用三层交换机打通各子局域网),可以将网络位数控制的更小。
location / {allow 192.168.0.0/16;deny all;...
}
IP 为 192.168.x.x 的都可以直接访问,其他 IP 地址需要账号和密码验证。
三层交换机
出于安全和管理方便的考虑,主要是为了减小广播风暴的危害,必须把大型局域网按功能或地域等因素划成一个个小的局域网,这就使VLAN技术(虚拟局域网)在网络中得以大量应用,而各个不同VLAN间的通信都要经过路由器来完成转发,随着网间互访的不断增加。单纯使用路由器来实现网间访问,不但由于端口数量有限,而且路由速度较慢,从而限制了网络的规模和访问速度。
基于这种情况三层交换机便应运而生,三层交换机是为IP设计的,接口类型简单,拥有很强二层包处理能力,非常适用于大型局域网内的数据路由与交换,它既可以工作在协议第三层替代或部分完成传统路由器的功能,同时又具有几乎第二层交换的速度。
内网畅外网墙--再聊Nginx访问权限管理相关推荐
- 自建商业网站,并通过cpolar内网穿透发布到公网可访问(6)
系列文章 自建商业网站,并通过cpolar内网穿透发布到公网可访问(1) 自建商业网站,并通过cpolar内网穿透发布到公网可访问(2) 自建商业网站,并通过cpolar内网穿透发布到公网可访问( ...
- AR路由器通过web及代码实现公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器
** AR 实现 公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器 ** 1.web实现 配置前提:设备已实现,基本的上网业务,需要映射服务器,实现内外网的访问. ( ...
- 安卓 无权限 访问_U盘提示无权限访问怎么办 电脑U盘访问权限管理
电脑插入U盘后提示无权限访问怎么办呢?对于企业局域网而言,其重要文件资料的安全是关键,通常情况下可以借助系统配置参数以及相关软件进行保护.但同时也会造成U盘等设备存取文件的问题,接下来就与大家分享一下 ...
- F5内网大二层负载均衡业务访问故障解析(CISCO OTV+LISP-MTU问题导致)
一.问题现象 最近在某客户由于假期出现核心CISCO 6509硬件故障当机问题,进而发现F5发布的3个应用访问问题,出现一部分人访问应用出现不可用的问题,时好时坏,内网使用F5 GTM+LTM进行域名 ...
- 红蓝对抗之隧道技术第一篇(内网穿透、端口映射端口转发、Netsh端口转发、CS正反向连接多层内网、Burp设置上游代理访问内网、MSF protfwd端口转发/重定向)
文章目录 隧道应用 端口映射&端口转发 Netsh端口转发 Netsh端口转发meterpreter CS正向连接多层内网 CS反向连接多层内网 Burp设置上游代理访问内网 MSF prot ...
- 内网穿透,使用 IPv6 公网访问内网设备踩坑指南
本文是开启宽带 IPv6 功能并使用公网 IPv6 地址访问内网设备的踩坑指南.IPv6 是目前个人体验最优的内网访问方案,个人体验远胜过 ZeroTier,frp 等方案. 场景 将个人设备暴露于公 ...
- 【内网穿透服务器】公网环境访问内网服务器(以使用samba(smb)文件共享服务为例)
公网环境访问内网服务器,以使用samba(smb)文件共享服务为例 Frp 挂载 Frp SSH端口 访问 访问 samba Linux cifs Windows Winscp等客户端 SFTP协议登 ...
- linux+cpolar实现免费内网穿透,出门在外也可访问(ssh or other)自己主机
最近笔者正在练习爬虫,由于没钱搞云端环境,所以只能拿单位的电脑和家里的电脑编写用例,搞了一段时间感觉不太方便,遂想要给家里申请一个公网IP,以达到远程访问编程环境的目的(主要是以为公网IP还是免费的) ...
- 自己搭建一个内网穿透服务,用域名访问自己家服务器的网站
搭建前准备: 1.一个域名,本文的示例的域名是阿里云的: 2.家里有一台电脑,电脑上跑了nginx,代理了80端口: 3.家里的路由器支持虚拟服务器(可以自行百度自己的路由器有没有"虚拟服务 ...
最新文章
- 寿命能推算吗?加州大学科学家提出“预测方法”
- Symbian的内存管理机制
- 1.Tomcat配置
- linux连接wifi账户密码忘了怎么办,路由器账户密码忘记了怎么办_无线路由器密码忘记了怎么找回-系统城...
- 怎样加速微软商店服务器,windows10系统如何加快应用商店打开速度【图文教程】...
- linux rpm包,安装路径查看及改变rpm包默认安装路径
- 一、Pytho第一课——Python安装及配置路径方法(最详细小白教程,没有之一。如若不懂,不是还可以私信嘛!对吧?)
- MySQL 基础 ———— 视图的应用与总结
- 上岸 | 青椒博士毕业后未返校任教,被判返还高校41万余元
- .net开发中常用的第三方组件
- paypal开发整理(7)—Get Start
- java实现火车票查询_java抓取12306信息实现火车余票查询示例
- ProtoPie 学习
- 服务器临时文件的后缀名,在Java中创建具有指定扩展名后缀的临时文件
- 关于统计学中P值的理解
- ECS运维神器 之 阿里云云助手
- 攻防世界pwn难度1
- Excel基础学习(2013及以上版本)
- 如何制定自己的人生计划
- 欧盟吸纳52名专家入AI咨询委员会 将起草AI伦理指南 |标贝科技