Karp

Nginx 设置ip白名单
通过allow, deny模块allow 45.43.23.21; deny all;各模块下使用方式http{ ...
扫描右侧二维码阅读全文
18
2022/06

Nginx 设置ip白名单

通过allow, deny模块

allow 45.43.23.21;
deny all;

各模块下使用方式

http{
   ...
   allow 45.43.23.21;
   deny all;
   ...
}

server{
    ...
    allow 45.43.23.21;
    deny all;
    ...
}


location / {
   allow 45.43.23.21;
   deny all;
}

通过geo模块

http模块

http {
    ........
    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    geo $remote_addr $geo {
           default 1; #1表示禁止访问
           127.0.0.1 0; #0表示可以访问
    }

    include /usr/local/nginx/conf.d/*.conf;
}

server模块

server {
    listen 80;
    server_name jenkins.aa.bb;
    location / {
        # 如果不是白名单则 显示403 禁止访问
        if ( $geo  = 1 ) {
            return 403;
        }
        proxy_set_header        Host $host:$server_port;
        proxy_set_header        X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header        X-Forwarded-Proto $scheme;
        proxy_pass          http://127.0.0.1:59932;
        proxy_read_timeout  90;
        proxy_http_version 1.1;
        proxy_request_buffering off;
    }
}

geo语法


Syntax:     geo [$address] $variable { ... }
Default:    —
Context:    http

address 默认是 $remote_addr, 可能生产上需要使用$http_x_forwarded_for才能获取到客户端ip

通过geo对指定ip地址流量限制

http{
     #定义白名单ip列表变量
     geo $whiteiplist {
         default 1 ;
         127.0.0.1/32 0;
         10.0.0.0/8 0;
         64.223.160.0/19 0;
     }
     
     map $whiteiplist $limit{
         1 $binary_remote_addr ;
         0 "";
     }
     
     #配置请求限制内容
     limit_conn_zone $limit zone=conn:10m;
     limit_req_zone $limit zone=allips:10m rate=20r/s;
     
     server{
         listen       8080;
         server_name  test.qiangsh.com;
                  
         location /app {
           proxy_pass http://192.168.1.111:8888/app;
           limit_conn conn 50;
           limit_rate 500k;
           limit_req zone=allips burst=5 nodelay;
         }
     }
}
# 测试方法:
# ab -c 100 -n 300 http://test.qiangsh.com:8080/app/docs/nginx_guide.pdf
  1. geo指令定义一个白名单$whiteiplist, 默认值为1, 所有都受限制。
    如果客户端IP与白名单列出的IP相匹配,则$whiteiplist值为0也就是不受限制。
  2. map指令是将$whiteiplist值为1的,也就是受限制的IP,映射为客户端IP。将$whiteiplist值为0的,也就是白名单IP,映射为空的字符串。
  3. limit_conn_zonelimit_req_zone指令对于键为空值的将会被忽略,从而实现对于列出来的IP不做限制。
  4. $remote_addr$binary_remote_addr 区别, $remote_addr 是7-15字节,$binary_remote_addr是4字节ipv4, 16字节ipv6
  5. 以上命令的限制是指白名单内的不限制, 不在白名单内的, 每个ip允许50个连接, 每个连接限速500k, 10m的容器,
    按照32bytes/session, 可以处理320000个session, 每秒20个请求, 超过25(20+5,
    其中前20个是有时间间隔匀速控制的, 后5个是缓存, 如果100ms内有10个请求, 则会通过7个)个的立即丢弃, 返回503
最后修改:2022 年 06 月 18 日 07 : 45 PM

发表评论