当前位置: 首页 > linux, 云计算, 互联网, 系统安全 > 正文

Nginx 在if语句中限制IP访问

一些web服务,出于安全考虑是不想让其他人访问到,除了添加登录用户认证外,还可以使用Nginx限制IP访问,只允许指定IP的用户访问站点或者接口。即nginx deny ip access

Nginx中限制IP访问的一般用法是在location中使用allow和deny来限制,如:

    location / {
        allow 127.0.0.1;
        allow 172.0.0.0/8;
        allow 10.10.0.0/16;
        allow 202.106.0.20/32;
        allow 114.114.114.114/32;
        deny all;
    } 

实际应用中由于我们配置了泛解析域名,location中用到了if语句来匹配server_name,而allow和deny指令无法使用在if语句里面。

Nginx deny的用法:
deny
语法:     deny address | CIDR | unix: | all;
默认值:    —
配置段:   http, server, location, limit_except

如果在if语句下使用deny指令会有如下报错:

"deny" directive is not allowed here in /etc/nginx/conf.d/default.conf:21

还有一个问题是Ningx配置是不支持if嵌套的,所以下面使用了set变量的方式来实现嵌套功能,使用return 403来替代deny指令,具体如下:

server {
    listen       80;
    server_name  ~^(?<subdomain>.+)\.sudops\.com$;
                                        
    location / {
        set $myoffice 0;
        if ($host = "subdomain.sudops.com") {
            proxy_pass http://172.30.1.11:2019;
            set $myoffice "${myoffice}1";
        }

        if ($remote_addr !~ "^(127.0.0.1|172.|10.10.|202.106.0.20|114.114.114.114)") {
            set $myoffice "${myoffice}2";
        }

        if ($myoffice = "012") {
            return 403;
        }
    }
}

本文固定链接: https://sudops.com/nginx-deny-ip-access-in-if.html | 运维速度

该日志由 u2 于2019年01月23日发表在 linux, 云计算, 互联网, 系统安全 分类下,
原创文章转载请注明: Nginx 在if语句中限制IP访问 | 运维速度
关键字:

报歉!评论已关闭.