之前写过关于nginx配置动态黑名单功能
原理是查询日志,统计某段时间内访问次数很频繁的ip,对ip进行封禁
如果在nginx之前有WAF,F5设备,remote_addr 的地址是WAF、F5的地址, 客户端真实的IP地址是在
http_x_forwarded_for中的, 这样这样 nginx 默认的 deny 和 allow 就不能用了。
我们定义一个 map 拒绝的 IP 地址列表。cat x_forwarded_for_deny.conf
map $http_x_forwarded_for $allowed {
default allow;
#~\s*192.168.0.100$ deny; # 拒绝一个IP地址
#~\s*192.168.0.\d+$ deny; # 拒绝一个网段IP地址
include deny_ip.conf;
}
这个deny_ip.conf就是需要禁止的ip,内容参考上面注释的两行,例如
~\s*192.168.1.123$ deny;
~\s*127.20.3.4$ deny;
然后在nginx默认配置文件nginx/conf/nginx.conf里引入这个x_forwarded_for_deny.conf文件
include x_forwarded_for_deny.conf;
然后在需要拦截的location里添加,如下
location / {
if ( $allowed = "deny" ) { return 403; }
proxy_pass .....;
}
如何动态添加ip至deny_ip.conf配置文件?
结合之前那篇的配置nginx配置动态黑名单
修改为
echo "~\s*$line$ deny;" >> $blockfile/deny_ip.conf
版权声明:本文为lmq1993原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接和本声明。