2. 程式人生 > >nginx遮蔽某段IP、某個國家的IP

nginx遮蔽某段IP、某個國家的IP

阿新 發佈:2019-01-08

nginx中可通過寫入配置檔案的方法來達到一定的過濾IP作用,可使用deny來寫。

deny的使用方法可用於前端伺服器無防護裝置的時候過濾一些異常IP,過濾的client ip會被禁止再次訪問,起到一定的阻斷作用。

但是,在現在這個網路環境非常負載的情況,實際阻斷的IP可能都是一些代理模擬出來的,所以遇到大範圍異常攻擊的時候還是選用前端的防護裝置如FW、DDOS等才可進行防護。

1、首先遍歷nginx_access log來檢視惡意IP地址:

awk '{print $1}' /var/log/nginx/access.log |sort |uniq -c|sort -n

2、在nginx目錄 /etc/nginx建立blocksip.conf檔案,並寫入內容:

deny 192.168.1.1;                                   #過濾單個IP
deny 192.168.1.0/24;                                 #過濾整個地址段
deny all;                                            #過濾所有IP
allow 192.168.1.1;                                   #與deny all;組合是指除192.168.1.1外其他都過濾

3、nginx.conf檔案將該配置加入http{}標籤末尾:

vim nginx.conf
http{


    include blocksip.conf;
}

nginx -t

nginx -s reload

4、使用deny過的IP訪問nginx代理的應用服務,可在error.log中檢視forbidden日誌

 

如果想遮蔽某個地區的 IP 訪問的話,用 iptables 把來自某個國家的 IP 重定向到預定頁面不是特別靈活的辦法,如果只有一個 IP 可用而有多個網站在同一 VPS 上怎麼辦?用 iptable 遮蔽某個網站的話也會遮蔽同一 VPS 上的其他網站的訪問。所以正統的辦法還是用 GeoIP 配合對應的 web 伺服器模組,比如:apache + mod_geoip 或者 nginx + http_geoip_module 等。

安裝 MaxMind 的 GeoIP 庫

MaxMind 提供了免費的 IP 地域資料庫(GeoIP.dat),不過這個資料庫檔案是二進位制的,需要用 GeoIP 庫來讀取,所以除了要下載 GeoIP.dat 檔案外(見下一步),還需要安裝能讀取這個檔案的庫。

wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP.tar.gz
tar -zxvf GeoIP.tar.gz
cd GeoIP-1.4.6
./configure
make; make install

 剛才安裝的庫自動安裝到 /usr/local/lib 下,所以這個目錄需要加到動態連結配置裡面以便執行相關程式的時候能自動繫結到這個 GeoIP 庫:

echo '/usr/local/lib' > /etc/ld.so.conf.d/geoip.conf
ldconfig

 

下載 IP 資料庫

MaxMind 提供了免費的 IP 地域資料庫,這個資料庫是二進位制的,不能用文字編輯器開啟,需要上面的 GeoIP 庫來讀取:

wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
gunzip GeoIP.dat.gz

安裝 Nginx

因為要用到 http_geoip_module 模組,系統自帶的 nginx 一般不帶這個模組,所以要下載 nginx 原始碼後自行編譯:

複製程式碼 
wget http://nginx.org/download/nginx-0.9.6.tar.gz
tar zxvf nginx-0.9.6.tar.gz
cd nginx-0.9.6
./configure --without-http_empty_gif_module --with-poll_module \
--with-http_stub_status_module --with-http_ssl_module \
--with-http_geoip_module
make; make install
複製程式碼

配置 Nginx

最後是配置 nginx,在相關地方加上如下的配置就可以了:

複製程式碼 
# vi /etc/nginx/nginx.conf

http {
...
geoip_country /home/vpsee/GeoIP.dat;
fastcgi_param GEOIP_COUNTRY_CODE $geoip_country_code;
fastcgi_param GEOIP_COUNTRY_CODE3 $geoip_country_code3;
fastcgi_param GEOIP_COUNTRY_NAME $geoip_country_name;
...
}

server {
...
        location / {
            root   /home/vpsee/www;
            if ($geoip_country_code = CN) {
                root /home/vpsee/cn;
            }
            ...
        }
...
}
複製程式碼

這樣,當來自中國的 IP 訪問網站後就自動訪問到預定的 /home/vpsee/cn 頁面。關於 Nginx + GeoIP 還有很多有用的用法,比如做個簡單的 CDN,來自中國的訪問自動解析到國內伺服器、來自美國的訪問自動轉向到美國伺服器等。MaxMind 還提供了全球各個城市的 IP 資訊,還可以下載城市 IP 資料庫來針對不同城市做處理。

 

https://blog.csdn.net/tadwork/article/details/80742904

相關推薦

nginx遮蔽IP某個國家IP

nginx中可通過寫入配置檔案的方法來達到一定的過濾IP作用,可使用deny來寫。 deny的使用方法可用於前端伺服器無防護裝置的時候過濾一些異常IP,過濾的client ip會被禁止再次訪問,起到一定的阻斷作用。 但是,在現在這個網路環境非常負載的情況,實際阻斷的IP可能都是一些代理模擬出來的,所以遇到

nginx遮蔽ip的訪問

假設我們想禁止訪問nginx次數最多的ip訪問我們的網站 我們可以先查出那個ip訪問次數最多 awk '{print $1}' nginx.access.log |sort |uniq -c|s

自己家用電腦做站點server,解決動態IP無公網IP80port被封HTTP被屏蔽

管理系 映射 綁定 方案 自己 屏蔽 net 數據 web 動態IP、無公網IP、80port被封、HTTP被屏蔽,這些問題都是自己的server做站點服務,easy遇到面對的問題。當出現這些問題時。能夠利用當前的開放網絡資源一一解決。 解決原理分析: 動態IP。公

使用代理IP高匿IP連接失敗

http brush 技術分享 p地址 tpc ati default 選擇 ren 先百度一下,什麽是代理IP 我們使用代理IP就是因為某些站點會屏蔽我們的IP,所以我們要動態的更換代理IP。 代理IP: 其中我們首先選擇國內的IP,國外的一般都比較慢,其次不要選

c#得到本機內網ip外網ip

獲取本機 bre gethost post value 公網 內網ip end stream 內網 IPAddress ipAddr = Dns.Resolve(Dns.GetHostName()).AddressList[0];//獲得當前IP地址

centos7臨時修改IP永久修改IP

臨時修改IP ifconfig eno16777736 192.168.1.101  注意(eno16777736)是預設第一個網路介面名稱 永久修改IP 第一步:檢視網路介面 ifconfig 第二步:去對應的網路介面配置檔案修改配置,注意檔名稱是(ifcfg-預設第一個網路介面名稱),檔案路徑是/et

nginx禁止某個IP某個IP訪問網站

我們經常會需要把某個IP禁止不讓訪問我們的網站,下面我來給大家介紹在nginx中怎麼實現禁止某個IP或某個IP段訪問網站吧,有需要了解的朋友可參考禁止單個IP的寫法:程式碼如下deny x.x.x.x;禁止IP段的寫法:程式碼如下deny 10.0.0.0/24;也可以實現

linux 防火牆 iptable 允許 某個 IP訪問 某個

 方法一: 只允許下面三個IP訪問3306埠。 1.編輯iptables vi /etc/sysconfig/iptables -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -

如何在nginx容器中使用pingnslookupipcurl 等工具?

lookup url 進行 color 網絡工具 都沒有 測試 pda 沒有 Nginx鏡像太精簡了,啟動一個容器進行測試時,常用的網絡工具都沒有,可以使用下面的命令進行安裝。也可以直接起一個busybox容器進行測試。apt update#ping apt install

vim刪除文件第n行到結尾內容

通過 顯示行號 vim col 文件 pre AS bsp 顯示 1. 編輯文件 vim myShell.sh 2. 轉到文件末尾 G 3. 或者轉到刪除內容最後的行 :set nu #顯示行號,便於確定哪行 200G #光標定到200

Oracle查看某個用戶下所有表的記錄總數和所有表的字總數記錄數

sele user details oracl sys where col 字段 rac https://blog.csdn.net/zhihaoma/article/details/78607368 如我想查看用戶M下的所有表的總記錄數: SELECT SUM(num_

React將文字插入到某個元素裡

最基本使用: 引入依賴檔案: <script src="https://unpkg.com/[email protected]/umd/react.development.js"></script> <script src="https://unpkg.com

c實現 ip掩碼 計算網

#define BYTE_LEN 8 #define BYTE_NUM 4 #define NET_SEGMENT_SIZE 64 int strtok_str(uint8_t * p[], int max_p_num, uint8_t * str, const uint8_t * spl) {

IP地址分類/IP地址10開頭和172開頭和192開頭的區別/判斷是否同一網(ABC三類地址)

IP地址分類/IP地址10開頭和172開頭和192開頭的區別/判斷是否同一網段 簡單來說在公司或企業內部看到的就基本都是內網IP,ABC三類IP地址裡的常見IP段。 每個IP地址都包含兩部分,即網路號和主機號。  InterNIC將IP地址分為五類: A類保留給ZF或大型

[轉]輕鬆獲得網通電信鐵通IP地址分配

2006-07-11 有時搞一些跨網段的工程和應用,需要儘量準確的知道電信、網通、鐵通等電信運營商的IP地址段分配情況,可網上的資料不但很少,而且經常都是N個月前的過期資料…… APNIC是管理亞太地區IP地址分配的機構,它有

nginx設定目錄白名單ip白名單

1.設定目錄白名單:對指定請求路徑不設定限制,如對請求路徑為api目錄下的請求不做限制,則可寫為server{         location /app {             proxy_pass http://192.168.1.111:8095/app;    

nginx(虛擬主機配置ip域名埠號)

本章主要講解nginx的虛擬主機。分別是基於域名。基於ip、基於埠號來配置虛擬主機。 大致配置細節在nging.conf的http{}內編寫:一下列出簡單的配置,詳情請看同類文章的nginx(nginx.conf詳解)的說明:這裡不過多介紹。主要配置細節: // 全域

Jetty/Tomcat + Nginx反向代理獲取客戶端真實IP域名協議

問題 Nginx反向代理後,Servlet應用通過request.getRemoteAddr()取到的IP是Nginx的IP地址,並非客戶端真實IP,通過request.getRequestURL()獲取的域名、協議、埠都是Nginx訪問Web應用時的域名、協

Windows防火牆配置(允許某個和部分IP訪問某個埠)

1.win+R 2.gpedit.msc 3.計算機配置+Windows設定+安全設定+IP安全策略,在本地計算機 4.建立IP安全策略 5.配置IP篩選器列表、篩選器操作 6.分配 192.168.1.0/24 192.168.1.0是你的IPV4地址;/24是你的子網掩碼,代表255.2

Nginx遮蔽訪問過於頻繁的IP

有幾個IP過於頻繁的訪問,頻繁查詢資料庫,導致機器負載很高,於是根據實際情況,參考 http://gdl.pzhl.net/?p=149 遮蔽掉訪問頻繁的IP,問題得以解決,在這裡貼出來,供大家參考參考. 指令碼需要根據實際的nginx log 格式,修改,取出 訪問IP