Nginx访问控制_IP访问控制(http_access_module)原理、局限性、解决方法讲解
2018-01-09 18:25
651 查看
基于IP的访问控制,基于Nginx的http_access_module模块,是Nginx本身内置的模块,不需要安装的时候配置。也就是允许哪些IP访问,不允许哪些IP访问
Nginx基于access_module有局限性
原理:基于客户端的IP,但是对于Nginx来说,它不会管你哪个是真正的客户端,如果我们的访问不是客户端与服务端直接连接,而是通过了一层代理,比如它的代理可以负载均衡、CDN的这种代理实现,也就是我们的访问不是客户端直接访问的服务端,而是通过其他的中间件访问服务端,这时候会出现一个问题,因为Nginx的access_module它是基于remote_addr这个变量来识别客户端的IP的,那么如果一个ip通过中间件访问服务端,那么Nginx认为访问的ip就是中间件的IP,那么我们在基于IP做限制的时候,那么其实是没有作用的。所以这样的话,准确性是不高的,所以就是利用nginx的access_module有局限性。
解决方法:
①:采用别的http头信息访问控制,如HTTP_X_FORWARDED_FOR。
但是http_x_forwarded_for进行访问控制会存在问题,因为是一个协议要求的,并不是所有的cdn和代理厂商它会按照要求来做,甚至x_forwarded_for存在被修改的可能,因为只是一个头信息,所以最终还是不真实。
http_x_forwardded_for也是Nginx的http头变量的一个常用的变量,它和remote_addr是有区别的。不同的是,x_forwarded_for是http协议中规定头中要携带的,所以在客户端访问中间件,再访问服务端的时候,那么服务端通过Nginx会记录真实IP和中间件的IP。
格式:http_x_forwarded_for = 客户端ip,第一台代理ip,第二台代理ip,第N台代理ip....,所以http_x_forwarded_for是由一连串以逗号分隔的ip组成的。
②:结合geo模块
③:通过HTTP自定义变量传递
因为nginx有自己的变量,我们可以在http头信息定义一个我们规定的http变量在所有上一级的设备手动把remote_addr的ip一级一级的携带过去,既能避免x_forwarded_for被修改,也能读到客户端的真实ip
记得修改完配置一定要检测Nginx配置是否正确,正确后再重新软加载配置文件
server {
listen 80;
server_name example.com;
access_log logs/access.log main;
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
#从上到下的顺序,类似iptables。匹配到了便跳出。如上的例子先禁止了192.16.1.1,接下来允许了3个网段,其中包含了一个ipv6,最后未匹配的IP全部禁止访问.被deny的将返回403状态码。
}
location ~ ^/phpmyadmin/ {
allow 192.168.1.0/24;
deny all;
#只允许局域网访问
}
location /project {
allow 220.178.25.22;
allow 172.2.2.0/24;
allow 192.2.2.0/24;
deny all;
proxy_pass http://172.2.2.20:8080/project/; proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
}
#以上配置的作用是允许IP为220.178.25.22,以及172和192网段的机器可以访问这个location地址,其他IP的客户端访问均是403。其中,24是指子网掩码为255.255.255.0。
}Nginx基于access_module有局限性
原理:基于客户端的IP,但是对于Nginx来说,它不会管你哪个是真正的客户端,如果我们的访问不是客户端与服务端直接连接,而是通过了一层代理,比如它的代理可以负载均衡、CDN的这种代理实现,也就是我们的访问不是客户端直接访问的服务端,而是通过其他的中间件访问服务端,这时候会出现一个问题,因为Nginx的access_module它是基于remote_addr这个变量来识别客户端的IP的,那么如果一个ip通过中间件访问服务端,那么Nginx认为访问的ip就是中间件的IP,那么我们在基于IP做限制的时候,那么其实是没有作用的。所以这样的话,准确性是不高的,所以就是利用nginx的access_module有局限性。
解决方法:
①:采用别的http头信息访问控制,如HTTP_X_FORWARDED_FOR。
但是http_x_forwarded_for进行访问控制会存在问题,因为是一个协议要求的,并不是所有的cdn和代理厂商它会按照要求来做,甚至x_forwarded_for存在被修改的可能,因为只是一个头信息,所以最终还是不真实。
http_x_forwardded_for也是Nginx的http头变量的一个常用的变量,它和remote_addr是有区别的。不同的是,x_forwarded_for是http协议中规定头中要携带的,所以在客户端访问中间件,再访问服务端的时候,那么服务端通过Nginx会记录真实IP和中间件的IP。
格式:http_x_forwarded_for = 客户端ip,第一台代理ip,第二台代理ip,第N台代理ip....,所以http_x_forwarded_for是由一连串以逗号分隔的ip组成的。
②:结合geo模块
③:通过HTTP自定义变量传递
因为nginx有自己的变量,我们可以在http头信息定义一个我们规定的http变量在所有上一级的设备手动把remote_addr的ip一级一级的携带过去,既能避免x_forwarded_for被修改,也能读到客户端的真实ip
记得修改完配置一定要检测Nginx配置是否正确,正确后再重新软加载配置文件
[root@~]# /usr/local/nginx/sbin/nginx -t nginx: the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok nginx: configuration file /usr/local/nginx/conf/nginx.conf test is successful [root@~]# /usr/local/nginx/sbin/nginx -s reload
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- nginx访问控制allow、deny(ngx_http_access_module)
- nginx中ngx_http_access_module做访问控制
- 详解NGINX访问https跳转到http的解决方法
- Nginx访问控制_登陆权限的控制(http_auth_basic_module)
- 安装nginx 报“./configure: error: the HTTP gzip module requires the zlib library.”解决方法
- Nginx+lua+http_checkmodule+tcp_checkmodule+动态监测与访问控制 安装
- ubuntu下安装nginx错误error: the HTTP rewrite module requires the PCRE library 解决方法
- nginx 使用http_x_forwarded_for 无法获取到远程访问ip的解决方法
- SVN+Apache在windows下http访问 显示中文乱码问题的解决方法
- 【Vegas原创】HTTP无法访问内网网站的解决方法
- [ASP.NET]System.UnauthorizedAccessException: 拒绝访问 解决方法
- IIS错误解决方法:The specified module could not be found、访问 IIS 元数据库失败
- 用于解决用户多线路访问的nginx cross isp module
- HTTP 错误 401.3 - Unauthorized由于 Web 服务器上此资源的访问控制列表(ACL)解决办法
- IIS安装及IIS无权访问解决方法(Failed to access IIS metabase解决)
- "HTTP 错误 403.1 - 禁止访问:执行访问被拒绝"解决方法
- ./configure: error: the HTTP rewrite module requires the PCRE library 解决方法
- IIS调试中:HTTP 错误 401.3 - 访问被资源 ACL 拒绝 的解决方法
- "HTTP 错误 403.1 - 禁止访问:执行访问被拒绝"解决方法
- HTTP 错误 401.1 - 未经授权:访问由于凭据无效被拒绝的解决方法