通过 Nginx 设置连接访问限制,以及对限制开通白名单

有时需要通过 Nginx 设置一些连接访问的限制,并且设置限制白名单,对客户端特定 IP 地址不做过滤。

要求

  • 设置 ip 白名单,需用到 nginx geo 与 nginx map
  • nginx 默认加载了 ngx-http-geo-module 和 ngx-http-map-module 相关内容;
  • ngx-http-geo-module 可以用来创建变量,变量值依赖于客户端 ip 地址;
  • ngx-http-map-module 可以基于其他变量及变量值进行变量创建,其允许分类,或者映射多个变量到不同值并存储在一个变量中;

Nginx geo 格式说明

Syntax ( 语法格式 ): geo [$address] $variable { ... }
Default ( 默认 ): -
Content ( 配置段位 ): http
Nginx map 格式说明
Syntax ( 语法格式 ): map String $variable { ... }
Default ( 默认 ):-
Content ( 配置段位 ): http

开启nginx连接限制

#对指定请求路径不设置限制,如对请求路径为api目录下的请求不做限制,则可写为

server{
        location /app {
            proxy_pass http://192.168.1.111:8095/app;

            limit_conn conn 50;

            limit_rate 500k;
            limit_req zone=foo burst=5 nodelay; 
        }

        location /app/api {
            proxy_pass http://192.168.1.111:8095/app/api
        }
}

# 因nginx会优先进行精准匹配,所以以上写法即接触了对api目录下属路径的限制

白名单配置示例

http{
    # ... 其他配置内容

    ##################################
    ## /etc/nginx/http.d/map.conf

    #定义白名单ip列表变量
    geo $whiteiplist {
        default 1;
        10.250.250.0/24 0;
        127.0.0.1 0;
    }
    #使用map指令映射将白名单列表中客户端请求ip为空串
    map $whiteiplist $limit{
        1 $binary_remote_addr ;
        0 "";
    }

    ##################################
    ## /etc/nginx/http.d/limit.conf

    ## 配置前端代理,获取客户端真实IP
    real_ip_header     X-Forwarded-For;
    set_real_ip_from   139.219.193.17;
    #set_real_ip_from   0.0.0.0/0;
    #real_ip_recursive on;

    # $limit defined in /etc/nginx/http.d/map
    limit_conn_zone $limit zone=conn:30m;
    limit_conn_status 444;
    limit_conn_log_level info;

    limit_req_zone $limit zone=perip:30m rate=5r/s;
    limit_req_status 444;
    limit_req_log_level info;

    ##################################

    server{

        location /app {

            ## 单IP同时连接数限制
            limit_conn conn 5;

            ## 单IP单位时间内请求数限制
            limit_req zone=perip burst=5 nodelay;

            ##每个请求最大传输速率
            limit_rate 500k;

            proxy_pass http://192.168.1.111:8095/app;

        }
    }
}

白名单配置可用于对合作客户,搜索引擎等请求过滤限制

特殊情况处理

#如果想仅限制指定的请求,如:只限制Post请求,则:
http{
    # 其他请求..
    #请求地址map映射
    map $request_method $limit {
        default "";
        POST $binary_remote_addr;
    }
    #限制定义
    limit_req_zone $limit zone=perip:20m rate=10r/s;
    server{
        ... #与普通限制一致
        limit_req zone=perip burst=5 nodelay;
    }
}
#在此基础上,想进行指定方法的白名单限制处理,则:
http{
    #...
    #定义白名单列表
    map $whiteiplist $limitips{
        1 $binary_remote_addr;
        0 "";
    }

    #基于白名单列表,定义指定方法请求限制
    map $request_method $limit {
        default "";
        # POST $binary_remote_addr;
        POST $limitips;
    }

    #限制定义
    limit_req_zone $limit zone=perip:20m rate=10r/s;

    #在server中进行引用
    server{
        #... 与普通限制相同
        limit_req zone=perip burst=5 nodelay;
    }
}

以上就是通过 Nginx 设置连接限制以及对限制规则设置白名单的范例。

相关推荐

WordPress 网站安全:Nginx 规则配置

WordPress 网站安全:Nginx 规则配置

只需简单设置 Nginx 规则,就能提高 WordPress 网站的安全性,比如限制访问 XMLRPC、限制请求类型、禁止直接访问 PHP 文件和禁止访问某些敏感文件等。将如下代码,放到 WordPress 站点所使用的 Nginx 配置文件 server {} 内即可。 1.限制访问 XMLRPC WordPress中 的 XMLRPC 端点(根目录下的xmlrpc.php文件)用于允许外部应 ...

详解 Nginx 和 php-fpm 调用方式

详解 Nginx 和 php-fpm 调用方式

PHP 项目使用 Nginx 时,一般通过 php-fpm Nginx+PHP-FPM 形式访问交互,本文将详细解读 Nginx 配置文件、PHP-FPM、PHP-CGI 和 fastCGI 的概念。 一.背景: 在开发中碰到一个问题,项目以 nginx+php-fpm 形式访问交互,结果访问项目时报错如上图: 二.分析: 提示很明确嘛,去看 error.log(在nginx.conf或者vhost里头配置 ...

location =/ { } 和 loctaion / { }  带不带 = 等于号的区别

location =/ { } 和 loctaion / { } 带不带 = 等于号的区别

location / { }: 遵循普通 location 的最大前缀匹配,由于任何URI都必然以/根开头,所以对于一个 URI,若配置文件中有更合适的匹配则会将其代替,否则返回 location / { } 匹配到的结果,他相当于站点默认配置。 location = / { }: 遵守的是精准匹配,也就是只能匹配该站点根目录,同时会禁止继续搜索正则 location,效率 ...

Nginx 配置文件 nginx.conf 的结构详解

Nginx 配置文件 nginx.conf 的结构详解

Nginx 主配置文件 nginx.conf 共由三部分组成:全局块、events块和 http块。http 块又包含 http 全局块、多个 server 块。而每个 server 块中,可以包含 server 全局块和多个 location 块。在同一配置块中嵌套的配置块,各个之间不存在次序关系。 同一个指令放在不同层级的块中,其作用域也不同,一般情况下,高一级块中的 ...

微信扫一扫,分享到朋友圈

通过 Nginx 设置连接访问限制,以及对限制开通白名单